آثار أمنية متعددة الخيوط جافا سكريبت
https://stackoverflow.com/questions/39983
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
القراءة من خلال هذا السؤال على متعدد الخيوط جافا سكريبت ، أنا أتساءل عما إذا كان سيكون هناك أي تداعيات أمنية في السماح جافا سكريبت تفرخ موتليبلي المواضيع.على سبيل المثال, قد يكون هناك خطر من البرامج الخبيثة مرارا التفريخ موضوع بعد موضوع في محاولة تطغى على نظام التشغيل أو مترجم ويؤدي المدخل إلى "السلوك غير معرف الأرض" ، أو هو الى حد كبير غير هذه المسألة ؟ أي طرق أخرى في أي هجوم قد تستغل افتراضية تنفيذ جافا سكريبت التي تدعم المواضيع التي غير خيوط التنفيذ سيكون في مأمن ؟
تحديث: علما بأن حبس المتصفح ليس مثل خلق السلوك غير معرف استغلال.
المحلول
لا مواضيع متعددة لن تضيف المزيد من المشاكل الأمنية في التنفيذ.الخيوط جافا سكريبت من شأنه أن يضيف مزيدا من التعقيد إلى مترجم جافا سكريبت الذي يجعل من المرجح أن يكون علة استغلال.ولكن المواضيع وحدها لن تضيف أي قضايا أمنية.
المواضيع ليست موجودة في جافا سكريبت لأن "المواضيع تمتص" - قراءة أكثر من لغة مصمم (http://weblogs.mozillazine.org/roadmap/archives/2007/02/threads_suck.html)
نصائح أخرى
حسنا, يمكنك بالفعل اغلق المتصفح على محمل الجد تبطئ النظام مع تتصرف بشكل سيئ JS.المستنير المتصفحات نفذت يتحقق هذا النوع من الشيء و سوف توقف قبل أن يخرج الأمر من يده.
أنا أميل إلى نفترض أن المواضيع سيتم التعامل معه بطريقة مماثلة.
ربما كنت يمكن أن يفسر ما تعنيه بـ "السلوك غير معرف" إذن ؟ مترجم سمحت غير موثوق بها النصي مباشرة السيطرة على عدد من نظام التشغيل الأصلي المواضيع التي يتم تشغيلها سيكون بشكل لا يصدق ساذج - لا أعرف كيف التروس يدير الأمور ، ولكن منذ API تتمحور حول Workers في WorkerPools, سأكون مندهشا للغاية إذا لم تحد من إجمالي عدد من المواضيع المحلية في استخدام بعض العدد المنخفض جدا.
حسنا أنا أعتقد أن هذا فقط مثال رئيسي متعددة الخيوط جافا سكريبت Google chrome (فإنها الإفراج عنها بالفعل يا إلهي) و إذا فهمت ذلك جافا سكريبت فقط عملية واحدة في علامة التبويب ذلك إلا إذا بدأت علامات التبويض (النوافذ المنبثقة) أود أن نفترض أن هذا سيكون null المسألة ، ولكن أعتقد أن جوجل أنه في ظل يلتف على أي حال ، يتم تشغيل جميع جافا سكريبت في رمل.
مرة أخرى, نحن بحاجة إلى التمييز بين 1) مؤشرات الدعم في اللغة (التي لا أعتقد بجدية مناقشتها في شيء ما سوف يحدث) و 2) استخدام مؤشرات ترابط متعددة في محرك جافا سكريبت/مترجم في المتصفح.
عن #2, لا أستطيع أن أرى كيف أن هذا يمكن أن تضيف أي مخاوف أمنية إلى المحرك/مترجم, إلا إذا كان هناك عيوب في التنفيذ.
