Skip to content

Drucksache: PHP Magazin 4.19 - WASM - Ist das sicher oder kann das weg?

Im PHP Magazin 4.2019 ist ein Artikel über die Sicherheit von WebAssembly (WASM) erschienen.

Worum geht es darin?

Schon wieder eine neue Technologie für aktive Inhalte, muss das denn wirklich sein? Als hätten wir mit Flash und Java nicht schon genug Ärger gehabt. Beides wurde wahrscheinlich öfter für Angriffe als für wirklich nützliche Anwendungen verwendet.

Jedenfalls wenn man mal von Spielen und in der Web-Steinzeit das Abspielen von Videos durch Flash absieht. HTML5 und die dazu gehörenden JavaScript-APIs decken doch schon alle möglichen und unmöglichen Anwendungsfälle ab. Wieso also noch was Neues erfinden? Vor allem, wo doch jede neue Funktionalität immer die Angriffsfläche erhöht. die man doch eigentlich möglichst klein halten möchte.

Die Antwort ist ganz einfach: Wieso nicht? Vielleicht ist das Neue ja besser als alles Alte? Wichtig ist natürlich vor allem, dass es sicher ist.

Und insgesamt sieht es mit der Sicherheit von WebAssembly gut aus. Es spricht also nichts dagegen, WebAssembly zu nutzen. Als Entwickler ebenso wie als Benutzer.

Natürlich gibt es da noch einiges, was sich verbessern lässt, aber das gilt ja für jede Software. Zumindest bisher wurden keine Schwachstellen in der Spezifikation gefunden (evtl. wurde auch nur nicht danach gesucht?), und die Anzahl der in den Implementierungen gefundenen Schwachstellen ist überschaubar.

Und was Schwachstellen in den WebAssembly-Programmen betrifft: Interessiert sich für die wirklich irgendwer? Ich könnte mir vorstellen, dass die Cyberkriminellen sich darauf stürzen werden. Aber erst, wenn sie keine anderen Schwachstellen mehr finden, die sie ausnutzen können. Und bis dahin wird noch einige Zeit vergehen.

Und selbst wenn es irgendwann Angriffe auf WebAssembly-Programme geben wird: Wie viel Schaden können die Angreifer dann anrichten? Ist es nicht eher wahrscheinlich, dass die dann den Client-Code der einen betroffenen Webanwendung kompromittieren können, dann aber in der Sandbox festsitzen? Und Angriffe auf den Client-Code der Webanwendung sind auch heute schon möglich, so extrem sicher sind die JavaScript-Clients ja nun auch nicht. Aber haben Sie schon von großflächigen Angriffen gehört? Oder auch nur einzelnen? "In the Wild" ist es da doch ziemlich ruhig. Und ich glaube kaum, dass sich das mit WebAssembly ändert.

Außerdem ist das Zukunftsmusik, und bis es soweit ist werden die Sicherheitsfunktionen mit Sicherheit sehr viel ausgereifter sein. Und die Entwickler der WebAssembly-Programme können ja ihren Teil zur Sicherheit beitragen und die Schwachstellen in ihren Programmen korrigieren sowie keine neuen Schwachstellen mehr zu machen.

Links & Literaturverweise

Und hier noch die Links und Literaturverweise aus dem Artikel:

>
        </div>
                
        <footer class= Kategorien: Drucksache

Trackbacks

Keine Trackbacks