Le 08/02/2018 à 12h 54

zadlg a écrit :

Tu peux rechercher comment transformer une XSS en une RCE sur les electrons app par ex., c’est relativement simple.
D’ailleurs, Meltdown nous a démontré qu’il y a différents niveaux d’attaques.

 
Mais une PWA n’a rien à voir avec Electron… Elle s’execute dans un vrai navigateur et n’a pas de super-pouvoirs issus de Node. C’est sûr qu’il peut y avoir des failles mais n’allez pas me dire que vous n’utilisez pas le web : vous ne liriez pas ce texte ;)

Quant à la vitesse, justement les applis Electron (type VS-Code) sont là pour prouver que JS/HTML ne sont pas si lents que ça !

– disclaimer – : je développe des PWA

Le 13/07/2017 à 08h 56

Clémentine Maurice démontrait autre chose que le bug de DRAM que vous mentionnez (voir hammerjs qui n’était que le travail de base réalisé par Google au sujet de NativeClient).

 Elle s’est intéressée à la communication entre deux processus par la simple lecture de lignes de DRAM. C’est basé sur la mesure du temps de lecture pour voir si la ligne était en “cache” (pour simplifier un poil - les passionnés iront lire sa publi). Démo bluffante d’un processus en C qui tourne dans une VM sans carte réseau et qui communique (à 11bits/s) avec un code Javascript dans Firefox sur l’hôte ! Deux “sand-boxing franchis” (la VM et l’environnement Javascript) sans exploiter une seule faille logicielle.