webassembly_提升WebAssembly的安全性

最新推荐文章于 2024-03-26 09:57:20 发布
最新推荐文章于 2024-03-26 09:57:20 发布
阅读量854 收藏
点赞数
文章标签: 大数据 python java 编程语言 人工智能
原文链接:https://opensource.com/article/20/5/wasm-security
版权

webassembly

WebAssembly(也称为Wasm )席卷全球。 它最初是作为浏览器技术“正确地执行JavaScript”开始的,但现在已经发展了很多。 它提供了一个独立于平台的运行时,其二进制文件可以从许多不同的语言进行编译,并且可以在运行时支持的任何平台上运行(无需任何进一步的更改或重新编译)。 在我和Gordon Haff撰写的文章为什么每个人都在谈论WebAssembly的文章中,您可以找到有关WebAssembly的更多信息,以及为什么它如此受欢迎。 在本文中,我将探索安全运行WebAssembly的新步骤。

在浏览器外部保护WebAssembly

对我们许多人来说,特别有趣的是WebAssembly系统接口( WASI )的兴起,这是一种浏览器外部和经典服务器环境中运行WebAssembly的方式。

Enarx (当然是完全开源!),我们正在寻求以这样的方式提高工作负载的安全性,即使得管理员,内核或管理程序也无法查看它们的内部或影响其完整性。 除了CPU和关联的固件之外,您还可以在不信任的主机上运行工作负载!

我们选择WebAssembly作为我们的运行时,因为它提供了与平台无关的功能,并且易于集成到我们重视的现有开发环境中,并且我们相信开发人员和企业在设计和部署包含敏感材料的工作负载时正在寻找它们,无论是数据或算法。 尤其是WASI,非常适合我们旨在运行所谓的“ Keeps”(即工作负荷的运行时环境)的可信执行环境(TEE)。

WebAssembly的硬件抽象

但是,这是一项艰巨的工作,尤其是在我们抽象出底层处理器体系结构(当前是两种:Intel的SGX和AMD的SEV)时,这样您,用户就不必担心它们—您所需的一切要做的就是编写和编译您的应用程序(当然是到WebAssembly!),然后请求将其部署。 因此,Enarx有很多活动的部分,对我们来说,关键任务之一就是开始工作,以抽象化底层处理器体系结构,以便我们可以在顶层准备运行时层。 这是软件层及其在硬件平台之上的定位的总体示意图:

How software layers sit on the hardware platforms

(Mike Bursell, CC BY-SA 4.0

让我们退后一步,简要检查一下这些层:

  • 应用程序:这就是您编写的内容,无论选择哪种语言(C,C ++,Rust,Go,Python,Java,Haskell等),这都是项目的重点。
  • 语言绑定:将应用程序编译为WebAssembly时,使用的编译器会完成所有工作,以确保为WebAssembly正确编译应用程序并提取所需的任何部分。
  • WASI(WebAssembly系统接口):这是允许您的WebAssembly应用程序在服务器类型的上下文中而不是在浏览器(这是WebAssembly的最初实现目标)中执行的实现。 WASI恰好非常适合TEE提供的功能。
  • WebAssembly:这是Wasm的特定于平台的实现,它提供了其上方各层的关键运行时片段。
  • 基于流程的Keep /基于VM的Keep:这是现在Enarx大量实现的地方:为WebAssembly上的各种硬件选项(当前,我们专注于Intel的SGX和AMD的SEV)提供基础层层可以坐下来执行。

我们在三月底的Red Hat Summit上宣布并进行了演示,是因为Enarx现在具有代码的初始实现,使我们能够抽象出基于流程和基于虚拟机的架构类型(包括SGX和SEV的示例) ),因此我们可以执行以下操作:

Enarx abstracts away process-based and VM-based architecture

(Mike Bursell, CC BY-SA 4.0

这看似看似简单,但是幕后所发生的事情远比上图所揭示的要多。 现实更像这样:

Detail about Enarx abstracting away process-based and VM-based architecture

(Mike Bursell, CC BY-SA 4.0

这提供了更多细节:在两种体系结构上运行的应用程序(左侧为SGX,右侧为SEV)是相同的Linux二进制文件(实际上,具体来说,它是ELF静态PIE二进制文件-但这并不是特别重要)在此详细程度)。 需要明确的是,这不仅是为不同平台编译的相同源代码,而且是具有完全相同的哈希签名的完全相同的二进制文件。 令人惊讶的是,为了使其能够在两个平台上运行,工程团队不得不编写两组严重的底层代码,包括多于一种的汇编语言,以提供“连接”以使二进制文件能够同时运行。

一次确保WebAssembly一次系统调用的安全

这是非常重要的事情,因为尽管我们在每个平台上仅实现了少数系统调用,足以进行简单的二进制运行并打印出一条消息,但现在我们有了一个可以构建的框架。 接下来呢? 好吧,我们需要扩展该框架,以便我们可以构建WebAssembly层,从而允许WebAssembly应用程序在顶部运行:

Future Enarx Wasm architecture

(Mike Bursell, CC BY-SA 4.0

还有很长的路要走,但是这个里程碑表明我们拥有一个可以改进并可以建立的初始框架。

下一步是什么?

从我们的角度来看,这个里程碑令人兴奋的是,我们认为它使Enarx处于一个可以吸引更多人参与的阶段。 仍有许多底层工作要做,但拆分和开始一些更高层次的工作也将变得更加容易。 Enarx是完全开源的,我们会在日常工作中公开进行所有设计工作。 欢迎您浏览我们的文档RFC(目前主要是草稿),提出问题并加入我们的电话。 您可以在Enarx Wiki上找到更多负载信息,我们期待您参与该项目。

正如我在本文开头所解释的那样,目标是支持WebAssembly二进制文件,从而为您(想要部署应用程序的开发人员或企业)提供一个受硬件保护的运行时环境,您可以在其中执行工作负载而不必信任主机。他们正在运行。 如果您对此感兴趣,请联系 ; 我们很乐意听取您的意见。

翻译自: https://opensource.com/article/20/5/wasm-security

webassembly

cuml0912
关注
WebAssembly如何获得安全性
qq_34754747的博客
12-14 498
然后框架访问内存,并代表代码执行这个项目。在C++中,执行栈与线性内存一起位于内存中,虽然C++代码不应该修改执行栈,但是它可以使用指针实现修改。WebAssembly的执行栈与线性内存是分离的,代码无法访问。WebAssembly是第一个共享JavaScript VM的语言,而JavaScript VM在运行时是沙箱化的,同时经历了多年的检验和安全测试,确保了其安全性WebAssembly模块的可访问范围不超过JavaScript的访问范围,同时也会遵守相同的安全性规则,包括同源策略这样的增强规则。
WebAssembly生态将完善网络安全性
dotNET跨平台
11-16 456
近日 Mozilla、Fastly、Intel 与 Red Hat 宣布成立联合组织Bytecode Alliance(字节码联盟),该联盟旨在通过协作实施标准和提出新...
webassembly学习-安全控制
fpcc的专栏
06-19 612
webassembly出现就是体现了对javascript不安全的一种救济
WebAssembly 的魅力:高效、安全、跨平台(上)
你若盛开,清风自来
12-23 1556
WebAssembly 是一种新的低级编程语言,它的目标是为网页提供一种高效、安全、可移植的代码执行环境。它最初由Mozilla、Google、Microsoft 等公司发起,并于 2015 年正式发布。WebAssembly 的背景源于现代网页应用程序对性能的需求不断增长。传统的 JavaScript 代码在处理复杂的计算任务时效率较低,因此需要一种新的技术来提高网页应用程序的性能。
WebAssembly基础
mymy_blog的博客
05-30 692
WebAssembly定义WebAssembly是一种的语言,可以在现代浏览器环境中运行,并提供了功能和性能上的优势。可以将其它语言,如C/C++等,编译成Assembly格式的代码,然后在浏览器中运行。WebAssembly的目标 WebAssembly代码可以获得非常快的运行速度。 增加可读性,WebAssembly还有可读的文本格式,易于编写,调试和阅读。 WebAssembly具有非常高安全
webassembly_tutorial.pdf
08-19
2. **安全性**: WebAssembly运行在沙箱环境中,确保了代码的安全性,不会对宿主环境造成损害。 3. **可移植性**: WebAssembly可以在多种平台上运行,不仅限于浏览器,还可以用于服务器端和桌面应用。 4. **与...
信息安全_数据安全_us-18-Lukasiewicz-WebAssembly-A-.pdf
08-22
WebAssembly(WASM)是一种新兴的技术,允许网络开发者在网页上运行近乎原生性能的C/C++代码。这项技术的引入极大地提升了Web应用...同时,AI和数据分析技术的应用可以作为额外的安全保障层,以提升整个系统的安全性
安全性探究:WebAssembly二进制格式的安全实践
# 1. 介绍WebAssembly ...- 跨平台:WebAssembly可以在各种操作系统和硬件体系结构上运行,实现了真正的跨平台性。 - 高性能:相比JavaScript,WebAssembly执行速度更快,性能更好,尤其适合需要高计
WebAssembly标准入门1
08-03
WebAssembly(简称WASM)是一种新兴的、被广泛接受的网页虚拟机标准,旨在提供高可移植性、高安全性以及高效性能(包括快速加载和执行)。这种技术允许开发者将编译后的代码运行在浏览器环境中,与JavaScript协同...
webassembly-benchmarks:Libsodium WebAssembly基准测试结果
03-04
WebAssembly的运行时(runtime)是执行WASM模块的核心部分,它负责内存管理、安全性以及与其他Web技术(如JavaScript)的交互。 “webassembly-benchmarks-master”压缩包中很可能包含了以下内容: 1. Libsodium的...
沙盒内核模式WebAssembly运行时。-C/C++开发
05-26
kernel-wasm在Linux内核中安全地运行WebAssembly,性能比本地机器快。 背景知识大约一年前,我写了Cervus,这是另一个在Linux内核中运行的WebAssembly“用户模式”子系统。 到那时,内核就变得僵化了,在Linux内核中安全地运行WebAssembly,其性能比本地内核快。 背景知识大约一年前,我写了Cervus,这是另一个在Linux内核中运行的WebAssembly“用户模式”子系统。 那时我们还没有WASI或任何“生产就绪”的非Web运行时,尽管Cervus项目已证明该想法是可行的,并且潜力巨大。 现在,WASM生态系统正在发展,现在是时候为实际应用程序构建完整的内核WASM运行时了。 费图
webassembly:用于生成和运行WebAssembly模块的最小工具箱和运行时
02-04
对于node.js 节点顶部的实验性,最少的工具包和运行时,用于生成和运行模块。 要运行已编译的WebAssembly模块,您将需要或Node.js 8的浏览器的最新版本-但您可能已经知道这一点。 对于开发而言,向上使用node.js 6就足够了。 动机 流行的WebAssembly工具从C / C ++角度提供WebAssembly的编译功能,重点是移植现有代码。 因此,它通常会产生很多不需要额外代码的代码,而这些代码只是试图补充JavaScript的模块。 另一方面,此程序包仅通过专门针对WebAssembly(在浏览器中)来尝试使支持库和生成的模块尽可能小。 欢迎PR! 例 将您的
WebAssembly运行时库(WASM runtime:wasmer 或 wasmtime)\将rust官方demo猜数字编译为WASI目标并使用Wasmer运行
西京刀客
07-08 3796
WebAssembly运行时库(wasmer 或 wasmtime) 将rust官方demo猜数字编译为WASI目标并使用Wasmer运行
深入了解 WebAssembly —— 一种新的 Web 可执行文件格式
NGINX开源社区的博客
04-19 235
早在 2015 年,Mozilla 就开始着手制定一套新标准,将“一种可移植的、紧凑的、加载时间高效的格式和执行模型”作为 web 浏览器的编译目标。WebAssembly 的设计初衷是允许 JavaScript 以外的其他语言在浏览器中运行。Wasm 很快就得到了浏览器厂商的青睐,所有主流浏览器都可以支持它。大家可能还记得使用交叉编译器的时代,当时代码是针对外部环境的,通常是在控制硬件中。这些目标千差万别,这意味着交叉编译必须在生成系统和目标系统之间严格保持一致。
让C代码在浏览器中运行——WebAssembly入门介绍
狂奔之林的博客
12-04 1458
转自:https://blog.csdn.net/sinat_32582203/article/details/73355211?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.contr
如何在浏览器中使用WebAssembly特性
热门推荐
陈小峰(iefreer)的专栏
03-02 1万+
WebAssembly是一个新的重大网页技术,顾名思义“网页的汇编语言”。[参考阅读:什么是WebAssembly,为什么需要WebAssembly]该技术得到Mozilla、Google和Microsoft的支持,但目前如果要体验该特性,需要修改浏览器的一些标记(配置):对于Chrome,打开chrome://flags/#enable-webassembly,启用该标记。对于Firefox N
使用WebAssembly保护前端JS核心代码实战
ezshine的博客
04-21 1126
前言上个月我花了2天开发了一个全新的VSCode插件叫“我爱掘金”,让所有掘友可以化身为小蝌蚪,在VSCode里实时聊天。使用的是一个开源项目 workerman-todpole ,在原项目的基础上我做了大量的修改和优化。也曾试图添加一些房管功能,比如只有管理员可以使用大红色,只有管理员可以发光等等。但正义的掘友们很快就开始尝试各种能打破这种【不平等】待遇的方法,其中 @那猫小帅 同学还开发了各种 池塘机器人,可以在池塘里扮演给新手用户提供帮助的NPC。现在小蝌蚪大眼睛的创意也是那猫小帅同学提出的,简直棒棒
Enarx: 前沿的、安全的WebAssembly运行环境
最新发布
gitblog_00006的博客
03-26 322
Enarx: 前沿的、安全的WebAssembly运行环境 enarxEnarx: Confidential Computing with WebAssembly项目地址:https://gitcode.com/gh_mirrors/en/enarx 是一个开源项目,旨在提供一个安全且高效的平台,用于在各种硬件上执行WebAssembly (Wasm)代码。它的核心理念是将敏感数据和计算任务隔离...
C语言转WebAssembly的全流程,及Web端调用测试
qq_29517595的博客
12-26 1048
C语言转WebAssembly的全流程,及测试
WebAssembly Summit:保持安全与发展并重
此次大会的焦点在于强调WebAssembly(Wasm)的安全性与开发者生产力之间的平衡,确保在技术进步的同时不忽视其初衷。Tim McCallum,来自Second State的作者,亲身体验了这场活动,并强调了Wasm社区的核心价值——...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值