WebAssembly - Безопасность

Согласно официальному сайту WebAssembly.org, который доступен по адресу https://webassembly.org/docs/security/ Основная цель WebAssembly с точки зрения безопасности заключается в следующем:

Модель безопасности WebAssembly преследует две важные цели:

  • Защитите пользователей от ошибочных или вредоносных модулей, а также

  • Предоставьте разработчикам полезные примитивы и средства защиты для разработки безопасных приложений в рамках ограничений (1).

Скомпилированный код, то есть WASM из C / C ++ / Rust, не выполняется напрямую в браузере и использует API Javascript. Код WASM изолирован, т. Е. Выполняется через оболочку API Javascript, и браузер взаимодействует с WASM с помощью API.

Вот пример использования файла .wasm внутри браузера.

Пример - C Program

#include<stdio.h> 
int square(int n) { 
   return n*n; 
}

Мы воспользуемся WASM explorer, чтобы получить код wasm -

Загрузите код WASM и используйте его для тестирования API.

пример

<script type="text/javascript"> 
   const importObj = {
      module: {}
   }; 
   fetch("findsquare.wasm")      
      .then(bytes => bytes.arrayBuffer())          
      .then(module => WebAssembly.instantiate(module,importObj))                 
      .then(finalcode => {
         
      console.log(finalcode); console.log(finalcode.instance.exports.square(25)); 
   }); 
</script>

Вывод

Вы получите следующий результат -

Объекты экспорта имеют ссылку на вызываемую функцию. Чтобы вызвать функцию square, вам нужно будет сделать это следующим образом:

console.log(finalcode.instance.exports.square(25));

Проблемы с кодом, скомпилированным WASM

Ниже приведены проблемы с кодом, скомпилированным WASM.

  • При компиляции кода в wasm сложно проверить, не вставляется ли какой-либо вредоносный код. В настоящий момент нет доступных инструментов для проверки кода.

  • Wasm сложно анализировать, а ошибочный / вредоносный код можно легко выполнить внутри браузера.