Javascript des tages

Weshalb man nicht jeder dahergelaufenden webseit standardmäßig das privileg gibt, kohd im webbrauser ausführen zu können, sondern sich ein addon installiert, um dieses privileg bewusst an bestimmte webseits vergeben zu können¹? Golem hat die heutige javascript-horrorgeschichte:

Ein wichtiger Mechanismus zum Schutz vor Exploits auf modernen Systemen lässt sich mittels Javascript umgehen. Einem Forscherteam des Instituts VUSec an der Vrije Universiteit Amsterdam ist es gelungen, mittels einer Cache-Timing-Attacke Informationen über das Speicherlayout in Browsern auszulesen. Damit schützt die Speicherrandomisierung (ASLR, Address Space Layout Randomization) nicht mehr effektiv vor Exploits

Weia! 😦

Natürlich gibts noch keinen exploit dafür, aber der kommt. Ist es nicht toll, dass die aktuellen versjonen vom feierfox und von guhgells-krohm-wanze zeitmessungen mit mikrosekunden-genauigkeit in javascript ermöglichen? Für alle, die so etwas schnell überlesen: das sind milljonstel sekunden. Wofür das gut sein soll? Na, für solche angriffe zum beispiel. Welche webseit das jemals brauchen wird? Egal, rein mit der überflüssigen funkzjon, irgendeine anwendung wird sich dafür schon finden. Der trend geht ja eindeutig dahin, den brauser als laufzeitumgebung für anwendungen zu betrachten, und dem trend wird blind und blöde nachgehetzt.

Und jetzt alle dem onkel IT-jornalisten nachsprechen, der ganz enttäuscht ist, dass er auf seinem zur tieferen kompromittierung zugesteckten äppelkram kein fläsch hat: „Fläsch ist pöse und unsicher, javascript und HTML5 sind die zukunft und viel sicherer“! So ists brav. Und jetze daran glauben! Ganz ganz fest daran glauben! Und immer schön über paranoide typen wie mich lachen, weil die so lächerlich sind! Idjoten!

Und jetzt zur scheiß-alpenprawda — von idjoten auch „süddeutsche zeitung“ genannt — rübergehen, die man ohne javascript gar nicht mehr lesen kann. Damit ihr von eurem feind, dem scheißjornalisten, lernt, dass es ohne javascript nun einmal nicht geht. Die gesamte organisierte kriminalität freut sich über euch, ihr dummgemachten. Oh, ist eure festplatte verschlüsselt und ihr braucht bitcoin, um wieder an eure daten zu kommen? Bedankt euch bei denen, die euch dumm machen und dumm halten! Und vergesst nicht, euren adblocker abzuschalten, damit eure feinde für die dienstleistung, euch dumm zu machen und dumm zu halten auch noch reibach über die scheißreklame absahnen!

via @tux@pod.geraspora.de

¹Normale menschen nehmen am einfachsten noscript. Wer keine probleme mit einem sehr fein steuerbaren addon hat, das aber einen gewissen aufwand bedeutet, sollte sich unbedingt mal umatrix anschauen.