ru_vds 9 янв 2023 в 12:00

Консоль SSH на WebAssembly внутри браузера: как это сделано

5 мин

14K

Блог компании RUVDS.comИнформационная безопасность*Open source*Серверное администрирование*

+42

Комментарии 11

raamid 9 янв 2023 в 12:51

Правильно ли я понимаю, что в локальной сети (без Интернет) не получится работать с Tailscale? Или все-таки можно установить собственные сервера Headscale и дальше уже дело техники?

Rastler 9 янв 2023 в 14:04

Правильно. P-to-P возможно, но без подключения к их серверам работать не будет.

Aelliari 10 янв 2023 в 11:35

Есть сторонняя OpenSource реализация их сервера, так что если он доступен в локальной сети...

event1 9 янв 2023 в 19:33

Консоль SSH на WebAssembly внутри браузера: как это сделано

разработчики портировали на WebAssembly (низкоуровневый язык для исполнения бинарников внутри браузера) следующие программы:

К чему остальная статья, не вполне понятно

Клиент Tailscale SSH проверяет подлинность каждого пакета на основе криптографической подписи WireGuard, поэтому ему не нужно запрашивать
пароль, загружать открытый ключ или управлять файлом authorized_keys

То есть админ tailscale может зайти на любой мой хост если там запущен клиент tailscale? А сам клиент запущен с правами суперпользователя. В чём же тут трюк?

domix32 10 янв 2023 в 12:19

А сам клиент запущен с правами суперпользователя. В чём же тут трюк?

Трюк в том, что суперпользователя нет, т.к. это всё внутри браузера на виртуальной файловой системе.

админ tailscale может зайти

А вот это сомнительно, если не MITMить трафик. Но вроде алгоритмы не дают этого делать.

event1 10 янв 2023 в 13:27

Трюк в том, что суперпользователя нет, т.к. это всё внутри браузера на виртуальной файловой системе.

Имеется ввиду система на которой запущен ssh-сервер и timescaled

А вот это сомнительно, если не MITMить трафик.

Если целевая система авторизует клиентов на основании wg-туннеля до инфраструктуры timescale, то что помешает админу timescale поднять wg-туннель без моего участия и зайти на "мой" хост?

czz 9 янв 2023 в 20:52

разработчики портировали на WebAssembly (низкоуровневый язык для исполнения бинарников внутри браузера) следующие программы:
клиент Tailscale;
клиент WireGuard;
весь сетевой стек пользовательского пространства (из проекта gVisor, который копирует интерфейсы системных вызовов из ядра Linux и переписывает их на Go для использования в сторонних приложениях);
клиент SSH.

Жесть какая. А уже есть браузер на wasm, чтобы запускать его в браузере?