LINUX.ORG.RU
ФорумTalks

WebAssembly ещё всем покажет кузькину мать!

 , , ,


1

0

https://m.slashdot.org/story/362946

Для Ъ:

50% сайтов использующих WebAssembly применяю его для добычи криптовалют на компьютерах пользователей или шифрования.

Какой выход? Подписывать скрипты у компаний, которые их проверяют?

★★★☆

Ответ на: комментарий от Lorovec

На (infoq)[https://www.infoq.com/news/2019/10/WebAssembly-wasm-malicious-usage/] есть ссылка на (оргинальное исследование)[https://www.tu-braunschweig.de/Medien-DB/ias/pubs/2019-dimva.pdf] но ссылок на сайты а сами WebAssembly не нашёл

grim ★★★☆ ()
Ответ на: комментарий от grim

Его проще проанализировать

Ну обфусцированный js - не такая уж и редкость. Для майнеров тем более.

Но в некоторых случаях да - проще.

Но вообще в чём проблема блокировать по жору ресурсов? Жрёт - блокируешь. Не жрёт - не майнер. Сайт перестал работать - такой сайт не нужен.

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от cvs-255

А как ты проверишь, такой сайт или не такой?

По загрузке cpu, например. Если майнер ничего не жрёт, то и хрен бы с ним (зачем он такой только нужен?).

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от cvs-255

CPU может и не только из-за майнера грузиться

Если сайт жрёт cpu, но на это нет каких-либо причин, то это майнер или говнокод. Закрыл и забыл. Ну в общем всё довольно очевидно.

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от cvs-255

а за контентом

Ну если ценность контента перевешивает сожранный cpu, то уже без разницы, говнокод это, майнер или оправданная необходимость.

А если контент можно найти в другом месте или он не особо нужен, то просто закрываешь сайт и не испытываешь проблем.

В конце концов тебе важно, чтобы у тебя не выжирался весь cpu. А майнером или ещё чем-то - какая разница?

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от cvs-255

Малварь от говнокода отличается злонамеренностью

И то и другое повод не пользоваться сайтом. А если результат один и тот же, то конкретная причина не особо важна.

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от cvs-255

это теоретически. а по факту говнокод - тоже малварь, ибо вредит эффективной работе системы.

Iron_Bug ★★★★★ ()
Ответ на: комментарий от te111011010

а разница между свободным и несвободным? допустим даже, что скрипт не обфусцирован. но это каждый скрипт вручную проверять надо (и ещё каждый раз при загрузке, или кэшировать проверенные и как-то их подсовывать). но это ж долбануццо просто. поэтому проще все запретить нафиг, чем разгребать сорта и выносить себе моск.

Iron_Bug ★★★★★ ()

50% сайтов использующих WebAssembly применяю его для добычи криптовалют на компьютерах пользователей или шифрования.

Ну вообще, как только появился вебассембли, многие говорили, что так и будет.

Im_not_a_robot ★★★★★ ()

Что значит «или шифрования»?

Deleted ()

Не шифрования, а обфускации малвари же.

Аж оригинал заставил читать.

curufinwe ★★★★★ ()
Ответ на: комментарий от Iron_Bug

В принципе, если более-менее крупный сайт спалят на скрытом майнинге, то это будет сильный удар по его репутации. Можно в специальный чёрный список такие сайты, которые палились на этом, заносить.

te111011010 ()
Ответ на: комментарий от Im_not_a_robot

Ричард, мать его, Столлман говорил про это задолго до появления и webassembly, и криптовалют.

te111011010 ()
Ответ на: комментарий от te111011010

более того, этот чёрный список существует в интернетах. но не каждый юзер держит у себя на компе чёрные списки айпишников или доменов. я держу. но это, скорее, исключение.

Iron_Bug ★★★★★ ()
Ответ на: комментарий от TooPar

А игори/емуляторы как?

Ну если ценность контента перевешивает сожранный cpu, то уже без разницы, говнокод это, майнер или оправданная необходимость.

оправданная необходимость.

Игори и эмуляторы и должны жрать. Тут всё норм. Если игра параллельно запускает майнер, то ты и с js’ом вряд ли это заметишь. По-крайней мере трудоёмкость на декомпиляцию на фоне поиска майнера будет ни о чём.

Ivan_qrt ★★★★★ ()

применяю его для добычи криптовалют на компьютерах пользователей или шифрования

Как будто это что-то плохое.

trex6 ★★★★★ ()

Какой выход? Подписывать скрипты у компаний, которые их проверяют?

Что мешает это делать на js? Можно вообще виртуалку на js грузить а туда любой софт в фоне.

quester ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.