Du bist nicht angemeldet.

Stilllegung des Forums
Das Forum wurde am 05.06.2023 nach über 20 Jahren stillgelegt (weitere Informationen und ein kleiner Rückblick).
Registrierungen, Anmeldungen und Postings sind nicht mehr möglich. Öffentliche Inhalte sind weiterhin zugänglich.
Das Team von spieleprogrammierer.de bedankt sich bei der Community für die vielen schönen Jahre.
Wenn du eine deutschsprachige Spieleentwickler-Community suchst, schau doch mal im Discord und auf ZFX vorbei!

C++ im Web

  • 1
  • 2

Werbeanzeige

SupremeDeveloper

Alter Hase

Beiträge: 721

Wohnort: /dev/null

Beruf: Software-Entwickler/Nerd

  • Private Nachricht senden

11

26.07.2012, 01:26

Muahahaha, "nativ" und "ohne die Sicherheit zu gefährden" passen irgendwie nicht zusammen. Auch die beste Sandbox hat Löcher( Gehe einfach mal von einer Sandbox aus ).
Bildbearbeitungs-Software
Black Silk Version 0.3.0

xardias

Community-Fossil

Beiträge: 2 731

Wohnort: Santa Clara, CA

Beruf: Software Engineer

  • Private Nachricht senden

12

26.07.2012, 02:03

Japp es ist eine sandbox. Man kann jedoch nicht beliebigen code ausfuehren, er muss mit dem NaCl compiler (modifizierter GCC) kompiliert werden. Es gibt einige Einschraenkungen die von dem Compiler eingehalten und vor dem Ausfuehren im Browser validiert werden.

Es arbeiten hier einige echt gute Sicherheitsexperten an dem Projekt. Aus der Sandbox auszubrechen ist sicher nicht unmoeglich (keine Software ist 100%ig sicher) aber definitiv nicht trivial.

SupremeDeveloper

Alter Hase

Beiträge: 721

Wohnort: /dev/null

Beruf: Software-Entwickler/Nerd

  • Private Nachricht senden

13

26.07.2012, 11:49

Es spricht nur gegen jegliche Prinzipien nativen Code aus dem Web auszuführen. Sobald man die Komplexität eines Systems erhöht, ist es auch wesentlich besser angreifbar. Insofern ist es gerade bei Browser-Herstellern nicht irrelevant, welche Design-Konzepte sie wählen, damit der Großteil des Programms auf einer hohen abstrahierten Ebene funktioniert. Nativer Code aus dem Web erhöht die Komplexität massiv und erschwert somit auch die Wartung von Chrome. Ich glaube gerne, dass die Entwickler da sehr kompetent sind, dennoch werden die sich wahrscheinlich auch ihre Gedanken über dieses zweischneidige Schwert machen. Ich glaube nicht, dass die immer mit einem guten Gefühl ins Bett gehen. Ich jedenfalls wäre mehr oder weniger beunruhigt, da nativer Code direkt aus dem Web immer eine Gefahr bedeuten kann.

Ich bin nicht ganz unerfahren in der Entwicklung von Sandboxes und Sicherheits-Features auf niedriger Ebene und kann denke ich auch die Tragweite solch eines Features beurteilen. Eine Sandbox bedeutet ja immer, dass man an spezifischen Stellen mit bösem Code rechnet, meiner Meinung nach, sollte man einfach verhindern, dass überhaupt irgendwo fremder Code ausgeführt wird(abseits der JS-Engine).

Ich sehe schon die NaCl Exploits vor mir... :P
Bildbearbeitungs-Software
Black Silk Version 0.3.0

Mastermind

unregistriert

14

26.07.2012, 12:50

Zitat von »xardias«

Sandbox [...] ohne die Sicherheit des Systems zu gefaehrden (Was komplexer ist als es klingt).


http://blog.chromium.org/2012/05/tale-of…ies-part-1.html
http://blog.chromium.org/2012/06/tale-of…ies-part-2.html

Fefe dazu:

Zitat

Diese ganze Sandbox-Scheiße hat es so komplex gemacht, einen Buffer Overflow auszunutzen, dass man kaum noch Exploits in der Öffentlichkeit sieht. Die gehen nur noch hinter der Ladentheke in Richtung Geheimdienste über den Weg. Gelegentlich kommt dann aber doch mal jemand und zeigt einen Exploit

MitgliedXYZ

Alter Hase

Beiträge: 1 369

Wohnort: Bayern

  • Private Nachricht senden

15

26.07.2012, 12:59

Ist das ein Fehler, oder was ist da los?
Zendee wird bei mir als unregistriert angezeigt. Der ist doch hier schon länger Mitglied. Hat der seinen Account gelöscht, oder was?

Werbeanzeige

  • 1
  • 2