アカウント名:
パスワード:
凄いのはわかるんだけど、実際に何かに利用する道が思いつかない簡単な検証用環境…にしてもそれならコンテナでいいし
どこまでできるかによりますね起動自体はIndexedDBに永続保存できるってことだけどネットワークブートやローカルやネットワーク越しのストレージをマウントできるのかによって脅威度が変わってくるかと
出来なければ対処のしようはありそうだけどこれができるとテキストコードだけでワーム入りOSを読ませて起動させられる上仕組み的にホストでのウイルススキャンをすり抜けそう
外部と繋げないスタンドアローンだとしてもそのブラウザとはつながるだろうから色んな情報をIndexedDBに溜め込ませて悪用するかんじかな
インスタントOSとしての価値よりも危険度のほうが大きい技術な気がしますね少なくともIndexedDB内部へのスキャンは必須になります
WASMはJavaScriptより制限が厳しいから、今のJavaScript以上の脅威にはならないよ。ブラウザのバグで何か抜け道が出来る可能性はあるけど、それはJavaScriptも同じ。どんだけ頑張ってもウェブページ内の世界だから、ローカルのファイルアクセスは JavaScript同様ユーザー操作が必須。ネットワークも同様。ユーザー許可のもとに WebUSBでUSBネットワークアダプタつければ、生のTCP/IPも使えるかもしれないが、そのあたりも含めて他のJavaScript/WASMで作ってる仮想PC実装と比べて何も変わらない。
WASMはJavaScriptより制限が厳しいから、今のJavaScript以上の脅威にはならないよ。
んーてことはHTMLやスクリプトソース状は問題なくともWebVM内でCoinhive的なものも動かしちゃえる更に画像や動画に偽装したVMイメージにして読み込んどくかんじかなこんなんやられたら発見が難しくなりそう
# まぁサードパーティドメイン弾くアドオン入れてりゃほぼ大丈夫だろうけど
ゲーム提供してますっていう裏で Coinhiveみたいなことするのは可能ですね。WebVMとか関係なく、WASMだとバイナリコードなので解析は手間でしょう。そのあたりは難読化したJavaScriptも、そのへんは変わらないと思うけど。
> 更に画像や動画に偽装したVMイメージにして読み込んどくかんじかな
これは無理かな。WASMとしてリクエストして受け取らないと実行できない。
このあたりもJavaScriptと同じですが広告の中に埋込んで、何かやらせえるってのは出来そうですね。WebVMになったからといって、出来ることが増えるわけでも、何かが簡単になるわけでもない。どちらかというとWebVMでやろうとしたら手間が増える。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
使い道が思いつかない (スコア:0)
凄いのはわかるんだけど、実際に何かに利用する道が思いつかない
簡単な検証用環境…にしてもそれならコンテナでいいし
Re:使い道が思いつかない (スコア:0)
どこまでできるかによりますね
起動自体はIndexedDBに永続保存できるってことだけど
ネットワークブートや
ローカルやネットワーク越しのストレージをマウントできるのか
によって脅威度が変わってくるかと
出来なければ対処のしようはありそうだけど
これができると
テキストコードだけでワーム入りOSを読ませて起動させられる上
仕組み的にホストでのウイルススキャンをすり抜けそう
外部と繋げないスタンドアローンだとしても
そのブラウザとはつながるだろうから
色んな情報をIndexedDBに溜め込ませて悪用するかんじかな
インスタントOSとしての価値よりも
危険度のほうが大きい技術な気がしますね
少なくともIndexedDB内部へのスキャンは必須になります
Re: (スコア:0)
WASMはJavaScriptより制限が厳しいから、今のJavaScript以上の脅威にはならないよ。
ブラウザのバグで何か抜け道が出来る可能性はあるけど、それはJavaScriptも同じ。
どんだけ頑張ってもウェブページ内の世界だから、ローカルのファイルアクセスは JavaScript同様ユーザー操作が必須。ネットワークも同様。
ユーザー許可のもとに WebUSBでUSBネットワークアダプタつければ、生のTCP/IPも使えるかもしれないが、そのあたりも含めて他のJavaScript/WASMで作ってる仮想PC実装と比べて何も変わらない。
Re: (スコア:0)
WASMはJavaScriptより制限が厳しいから、今のJavaScript以上の脅威にはならないよ。
んーてことはHTMLやスクリプトソース状は問題なくとも
WebVM内でCoinhive的なものも動かしちゃえる
更に画像や動画に偽装したVMイメージにして読み込んどくかんじかな
こんなんやられたら発見が難しくなりそう
# まぁサードパーティドメイン弾くアドオン入れてりゃほぼ大丈夫だろうけど
Re: (スコア:0)
ゲーム提供してますっていう裏で Coinhiveみたいなことするのは可能ですね。
WebVMとか関係なく、WASMだとバイナリコードなので解析は手間でしょう。
そのあたりは難読化したJavaScriptも、そのへんは変わらないと思うけど。
> 更に画像や動画に偽装したVMイメージにして読み込んどくかんじかな
これは無理かな。
WASMとしてリクエストして受け取らないと実行できない。
このあたりもJavaScriptと同じですが広告の中に埋込んで、何かやらせえるってのは出来そうですね。
WebVMになったからといって、出来ることが増えるわけでも、何かが簡単になるわけでもない。どちらかというとWebVMでやろうとしたら手間が増える。