᠋᠋
Я не про то. Их давно залатали, ну а новые подвохи тоже оперативно закрывают. На уровне софта и операционки
Size: a a a
2021 October 18
᠋᠋
Хочешь сказать что вебассемблу плевать на защиту оси и софта?
D
Нет
D
Но просто таких уязвимостей достаточно и патчи на них делают дольше
᠋᠋
3. WebAssembly это очередной "Java Applets"/ActiveX/Flash/Silverlight?
Нет! WebAssembly отличается от Java-апплетов тем, что он использует существующие части виртуальной машины JavaScript и ее среду изоляции (sandbox), вместо добавления другой громоздкой виртуальной машины посредством плагинов или расширений и тем самым снижая надежность и безопасность системы в целом. WebAssembly также не позволяет вызывать нативный код или системные вызовы напрямую, минуя слои безопасности самого браузера или другой виртуальной машины, как это делали Flash или Java-апплеты (через JNI).
Плагины ActiveX были встроенными библиотеками нативного кода, в которых безопасность строилась на доверии к третьей стороне. Для WebAssembly доверие возлагается исключительно на производителя самого браузера и только на него.
Кроме того, большинство этих плагинов имели свои виртуальные машины, которые создавались для конкретных языков. Например, Java Applets - для Java, Flash - для ActionScript, Silverlight - для C#. WebAssembly же - это унивирсальная виртуальная машина c открытым стандартом, готовая принять в свои объятия любой язык, будь то Haskell, PHP или TypeScript.
Нет! WebAssembly отличается от Java-апплетов тем, что он использует существующие части виртуальной машины JavaScript и ее среду изоляции (sandbox), вместо добавления другой громоздкой виртуальной машины посредством плагинов или расширений и тем самым снижая надежность и безопасность системы в целом. WebAssembly также не позволяет вызывать нативный код или системные вызовы напрямую, минуя слои безопасности самого браузера или другой виртуальной машины, как это делали Flash или Java-апплеты (через JNI).
Плагины ActiveX были встроенными библиотеками нативного кода, в которых безопасность строилась на доверии к третьей стороне. Для WebAssembly доверие возлагается исключительно на производителя самого браузера и только на него.
Кроме того, большинство этих плагинов имели свои виртуальные машины, которые создавались для конкретных языков. Например, Java Applets - для Java, Flash - для ActionScript, Silverlight - для C#. WebAssembly же - это унивирсальная виртуальная машина c открытым стандартом, готовая принять в свои объятия любой язык, будь то Haskell, PHP или TypeScript.
᠋᠋
Это понятно но это связанно не с языками как таковыми а с самими браузерами и осями. Которые в свою очередь оперативно выпускают заплатки и конфиги. Если обновлятся регулярно, то вероятность заражения стремится к нулю
᠋᠋
А вот джава это рак, считаю что вместо него нужно что то более адекватное и безопасное
᠋᠋
WebRTC тоже напряжный
᠋᠋
Жалко fsf не воюет с WebRTC :(
D
Веб сокеты аналогичны ему, обычно чатботы их используют
᠋᠋
Вебсокеты в отличии от WebRTC не деанонимизируют своих пользователей?
АЩ
А какая телефония, если не секрет? Больше гемора от плагина браузера или прохождение sip/rtp
᠋᠋
А какая разница?
АЩ
Уже никакой)
АЩ
Раньше на одной работе был ответственный за воип, считай ностальгия
D
Не анализировал безопасность web rtc, но полагаю что безопасность реализуется на уровне приложений (js/webassembly) тогда как в sip заложена в протоколе (и вроде как не сложно взломать), а rtp шифрования не имеет
D
Сип по инету не пускают же, только по локалкам и туннелям
АЩ
Тут нужен sip over tls + srtp
᠋᠋
WebRTC вроде как оконечно шифрует + p2p. Цены бы ему не было если б не деанонил 100%
АЩ
Srtp вроде вопрос железок и прошивок, насчёт п2п мне кажется ты не прав, "п2п" становится после сип коннекта, там то уже они ртп напрямую меняются