Discussion :

[RyzenOC]

j'ai le sentiment que cela vas finir comme cela ces finis avec les activeX et les applets Java.
ActivX 1995 : Technologie du futur vous aller pouvoir exécuter du C++ dans le navigateur, c'est finit le client lourd
Applet Java 1995 : Technologie du futur vous aller pouvoir exécuter du java dans le navigateur, c'est finit le client lourd
Falsh player 1996 : Technologie du futur vous aller pouvoir faire de la 3D dans le navigateur, c'est finit le client lourd

10ans plus tard ces technos sont considéré comme un cancer tres dangereuse pour les machines.
20ans plus tard on est enfin presque arrivé à s'en débarrasser (les activeX sont encore utilisé en Corée du sud)

2012 HTML5 : technologie du futur il pourra tous faire et sera en plus multiplate-forme et intégré de base dans le navigateur sans pouvoir le désactiver.
=> toutes les 3 semaines les browsers reçoivent des maj de sécurité de la meme manciere qu'avant on faisait les maj de adobe flash player et java
entre temps on le fait évoluer, HTML5 prend le contrôle de la caméra, du micro, des devices USB, peut créer des fichiers dans le disque dur....
les pub flash qui bouffait 100% du cpu pentium4 monocœur ont été remplacé par du minage de bitcoin en js qui bouffe 100% du cpu et en plus c'est multicœurs

mais le js c'est pas assez puissant, on vas créer webassembly, du code C/C++ compilé exécuté dans le navigateur, j’émets de grosse crainte quand on sait que le C est le langage le plus sujet aux failles de sécurité liée à la mémoire (ce qui est logique), Corruption mémoire, Kernel Stack/Heap...

ne me dites pas que ces technos sont safe et qu'elles ont été conçue des le départ pour être inviolable, soyons sérieux il y'a déjà eu des virus qui se sont installé via du code JS, je vois pas poruquoi il en serait autrement avec webassembly.

[Watilin]

Ça c’est la vision pessimiste.

Les anglophones ont ce mot, hindsight, qu’on peut traduire plus ou moins adroitement en sagesse rétrospective et qui désigne le fait qu’on apprend de nos erreurs et qu’on produit quelque chose de meilleur à chaque itération.

Certes, on n’arrêtera jamais de faire des erreurs, mais l’écosystème du Web produit des choses moins maladroites, plus efficaces, plus sûres qu’il y a dix ou vingt ans. Aujourd’hui, les navigateurs demandent l’autorisation à l’utilisateur·trice avant d’exécuter un ActiveX ou un plugin. Les requêtes médias et autres APIs (caméra, micro, géolocalisation, etc.) ont été conçues dès le départ sur ce principe d’autorisation.

Aujourd’hui les choses sont mieux cloisonnées et il est plus facile d’ajouter des sécurités quand le besoin se fait sentir. Exemple avec la récente décision de Firefox de limiter la méthode toDataURL des canevas, la soumettant à l’autorisation de l’utilisateur·trice, pour prévenir le fingerprinting.

Le problème du minage de bitcoin est un cas pathologique, on pourrait s’en servir pour accuser n’importe quelle techno. Il y aura toujours des failles, et des pirates pour exploiter ces failles.

Tes craintes sur les failles de C[++] sont infondées car il est clairement écrit que le WASM est exécuté dans une sandbox sécurisée. Encore une fois, hindsight. Tu sais, je suppose, qu’on peut écrire du code C[++] sécurisé en respectant les bonnes pratiques établies. Considère que le modèle de sécurité des navigateurs oblige à respecter ces bonnes pratiques.

Tu le dis très bien, aucune techno n’est inviolable, mais est-ce une raison pour fustiger toute tentative de progrès ?

[RyzenOC]

Tu le dis très bien, aucune techno n’est inviolable, mais est-ce une raison pour fustiger toute tentative de progrès ?

évidemment que non, n'aimant pas le JS c'est d’ailleurs une bonne nouvelle pour moi d'avoir autre chose (je fais pas de web donc je fais partie des plus concernée par ce probleme).

Considère que le modèle de sécurité des navigateurs oblige à respecter ces bonnes pratiques.

d'un autre coté de ce que j'ai vue de cette techno, sa sera juste du code ayant les mêmes fonctionnalités que JS mais il sera "pre-compiler" pour que celui-ci soit directement interprété.
Il ne s'agit donc pas d'étendre les possibilités mais juste d'optimiser le poids et le temps d'exécution en codant en C/C++ au lieu du JS. C/C++ (ou n'importe quels autre langages au passage comme du Go, du python ou du... js )

Tes craintes sur les failles de C[++] sont infondées car il est clairement écrit que le WASM est exécuté dans une sandbox sécurisée.

Oui, les implémentations seront vraisemblablement bound checked.

[Uther]

j'ai le sentiment que cela vas finir comme cela ces finis avec les activeX et les applets Java.
ActivX 1995 : Technologie du futur vous aller pouvoir exécuter du C++ dans le navigateur, c'est finit le client lourd

Applet Java 1995 : Technologie du futur vous aller pouvoir exécuter du java dans le navigateur, c'est finit le client lourd
Falsh player 1996 : Technologie du futur vous aller pouvoir faire de la 3D dans le navigateur, c'est finit le client lourd

La situation est quand même très différente.

• Pour Active X le soucis était que c'était une technologie intrinsèquement non portable car totalement centrée sur Windows et dangereuse niveau sécurité. Elle brisait allègrement la frontière entre ce qui est la charge de l'OS et du navigateur.
  
• Pour Java, Flash ou (p)NaCl, le soucis et que c'était des technologies qui arrivaient comme une rustine par dessus les spécification du web.et les navigateurs n'avaient aucune maîtrise dessus. Elles étaient sous le contrôle d'une seule société. Enfin leurs API étaient généralement en doublon de celles de HTML et s'intégraient plus ou moins mal avec.

La principale différence de Wasm avec les technologies précédentes, c'est qu'il aura accès exactement aux mêmes API que le JavaScript, pas plus. Ce qui fait qu'il aura, entre autre une surface d'attaque bien plus faible. Il le fera juste de manière plus performante vu que ce bytecode ne sera pas limité par les spécificités d'un langage de haut niveau.

toutes les 3 semaines les browsers reçoivent des maj de sécurité de la meme manciere qu'avant on faisait les maj de adobe flash player et java

Pour info les navigateurs majeurs reçoivent déjà des mises a jour de sécurité planifiées toutes les 4 semaines (IE, Edge) ou six semaines (Chrome,Firefox), voire moins en cas de faille dangereuse exploitable. Donc wasm ne devrait pas changer pas grand chose au problème.

mais le js c'est pas assez puissant, on vas créer webassembly, du code C/C++ compilé exécuté dans le navigateur, j’émets de grosse crainte quand on sait que le C est le langage le plus sujet aux failles de sécurité liée à la mémoire (ce qui est logique), Corruption mémoire, Kernel Stack/Heap...

Sauf que l'on ne va pas compiler directement le C sur le client et l'executer comme si c'était n'importe quelle application. On passe par l'intermédiaire d'un bytecode qui offre des garanties de sécurité(accès mémoire contrôlé) et bien sur il sera exécuté dans une sandbox avec des accès réduits.

ne me dites pas que ces technos sont safe et qu'elles ont été conçue des le départ pour être inviolable, soyons sérieux il y'a déjà eu des virus qui se sont installé via du code JS, je vois pas pourquoi il en serait autrement avec webassembly.

Le risque zéro n'existe pas, mais ces technologies ont en effet été conçues pour être aussi "safe" que possible à défaut d'être inviolable. Cette technologie n'est ni plus ni moins sure que le JavaScript qui est déjà présent partout dans les navigateurs.

[Stéphane le calme]

La spécification WebAssembly Core est désormais un standard web officiel
après HTML, CSS et JavaScript, WebAssembly devient le quatrième langage pour le Web qui permet au code de s'exécuter dans le navigateur

Au départ, en 1995, JavaScript a été présenté comme un langage léger pour les scripts assez simples. De plus, il a été pensé de telle façon qu’il soit facilement utilisable, même par les développeurs novices, pour des choses relativement simples, comme s’assurer que vous avez rempli un formulaire correctement lorsque vous le soumettez par exemple.

Plus tard, en 2008, a été lancé ce qui a été désigné comme étant la guerre des performances ; les navigateurs ont commencé à ajouter la compilation à la volée (JIT, une technique visant à améliorer la performance de systèmes bytecode compilés par la traduction de bytecode en code machine natif au moment de l'exécution). Tandis que le JavaScript s’exécutait, le JIT pouvait voir des modèles et faire en sorte que le code s’exécute plus rapidement en fonction de ces modèles. C’est ce qui a contribué à l’amélioration des performances de JavaScript qui a alors commencé à être utilisé pour plus de choses qu’il n’était censé gérer au départ, comme la programmation côté serveur avec Node.js.

Pourtant, malgré ces améliorations, il arrive que les performances soient imprévisibles. Aussi, pour accélérer les choses, le JIT a ajouté quelques éléments à l'exécution, parmi lesquels :

• l’optimisation et la désoptimisation ;
• de la mémoire utilisée pour les informations de compatibilité et de récupération du moniteur pour les cas où des récupérations se produisent ;
• de la mémoire utilisée pour stocker les versions de base et optimisées d'une fonction.

Autant d’éléments qui font qu’il arrive que le navigateur ne peut pas exécuter une application aussi rapidement qu’en natif. C’est alors qu’intervient WebAssembly (ou wasm).

À la base, WebAssembly est une architecture de jeu d'instructions virtuelle qui permet des applications hautes performances sur le Web et peut être utilisée dans de nombreux autres environnements. Il existe plusieurs implémentations de WebAssembly, notamment des navigateurs et des systèmes autonomes. WebAssembly peut être utilisé pour des applications telles que les codecs vidéo et audio, les graphiques et la 3D, le multimédia et les jeux, les calculs cryptographiques ou les implémentations de langage portables. Soutenu par le W3C, ce projet ambitionne de simuler un processeur virtuel, capable d’exécuter des programmes à une vitesse proche du code natif. Il faut préciser qu’il ne part pas de zéro, puisqu’il reprend les principes d’asm.js, une technologie qui sert à booster la capacité de traitement des applications web.

Il est déjà arrivé sur des forums de discussion que les développeurs se demandent si WebAssembly a vocation de remplacer à long terme le JavaScript étant donné que le standard a été vanté comme étant « plus rapide que JavaScript ». Toutefois, comme l’a expliqué l’ingénieur Mozilla Lin Clark, ce n’est pas le but ; s’il reconnaît également que WebAssembly s’avère plus rapide que JavaScript dans certains domaines, il précise qu’il ne veut pas sous-entendre que vous aurez à faire un choix entre WebAssembly et JavaScript : « en fait, nous nous attendons à ce que les développeurs utilisent WebAssembly et JavaScript dans la même application ».

Pour bien souligner l’impact potentiel de WebAssembly, il a procédé à des séries d’études comparatives qui ont pour objectif de montrer aux développeurs en quoi WebAssembly est « plus rapide que JavaScript », tout en donnant des exemples concrets où des ingénieurs pourraient opter pour une coexistence de WebAssembly et JavaScript. Il a évoqué le cas de l’équipe React, de Facebook, qui pourrait remplacer le code de leur DOM virtuel par une version WebAssembly : « les gens qui utilisent React n’auront rien à faire ; leurs applications vont fonctionner comme avant et elles vont bénéficier des avantages apportés par WebAssembly ».

WebAssembly permettra donc aux applications complexes de fonctionner de façon optimale sur navigateur – telles que les jeux vidéo immersifs en 3D, le design informatisé, l’édition d’image et de vidéo et la visualisation scientifique. À ce propos, des démonstrations ont été mises en ligne l'année dernière, désormais il s’agit de passer à une implémentation concrète. Les développeurs pourront utiliser WebAssembly pour accélérer les applications web existantes.

Parmi les démonstrations fonctionnelles qui ont été apportées, nous pouvons citer celle d'AngryBots,une adaptation d’un jeu Unity. Limin Zhu, le responsable programme Chakra chez Microsoft, avait présenté une démo d’AngryBots sur le navigateur Edge qui se servait alors du support préliminaire de WebAssembly dans le moteur Chakra, il a avancé « qu’en dépit de leur statut précoce, la démo démarre beaucoup plus rapidement qu’en utilisant uniquement asm.js, puisque les binaires WebAssembly ont une taille de fichier réduite et sont parsés plus rapidement que du JavaScript ordinaire ».

WebAssembly, ce langage bas niveau semblable à l'assembleur, permettant d'atteindre des performances proches des applications natives (par exemple écrites en C/C++) tout en fonctionnant sur le Web, apporte un certain nombre d'options aux développeurs, entre autres :

• la possibilité de profiter du format compact wasm pour transmettre des fichiers rapidement sur le réseau et les charger en tant que modules JavaScript ;
• la possibilité d'obtenir des performances quasi natives sans utiliser de plug-in ;
• la possibilité d'écrire un code à la fois performant et sécurisé, car il s'exécute dans le sandbox de sécurité du navigateur ;
• un choix de langages en dehors de JavaScript. Il permet par exemple aux développeurs d'écrire du code en C ou C++, puis de compiler directement en wasm, sans devoir compiler le code en JavaScript d'abord. En dehors de C/C++, des langages supplémentaires seront supportés à l'avenir.

Avec les avantages qu’il présente, il n’a fallu que deux ans à tous les principaux fournisseurs de navigateurs pour prendre en charge le nouveau standard ; depuis 2017, le support de WebAssembly est disponible dans tous les principaux navigateurs notamment Firefox, Chrome, Safari et Microsoft Edge.

Jeudi 5 décembre 2019, le World Wide Web Consortium (W3C) a annoncé que la spécification WebAssembly Core est désormais une norme Web officielle : « après HTML, CSS et JavaScript, WebAssembly devient le quatrième langage pour le Web qui permet au code de s'exécuter dans le navigateur », note le W3C.

« L'arrivée de WebAssembly élargit la gamme d'applications qui peuvent être réalisées en utilisant simplement les technologies Open Web Platform. Dans un monde où l'apprentissage automatique et l'intelligence artificielle deviennent de plus en plus courants, il est important d'apporter des applications hautes performances sur le Web, sans compromettre la sécurité des utilisateurs », a déclaré Philippe Le Hégaret, chef de projet W3C.

Le WebAssembly Working Group et le Community Group travaillent déjà sur une gamme de fonctionnalités pour les futures versions de la norme.

Source : W3C

Et vous ?

Que pensez-vous de WebAssembly ?
Vous en êtes-vous déjà servi ? Si non, étant donné qu'il est devenu une norme, allez-vous envisager de le faire pour vos développements Web ?

Voir aussi :

Mozilla, Fastly, Intel et Red Hat lancent l'Alliance Bytecode, une initiative construite autour de WebAssembly qui propose d'apporter plus de sécurité, d'ubiquité et d'interopérabilité sur le Web
50 % des sites web utilisent WebAssembly à des fins malveillantes, selon une étude de la Technische Universität Braunschweig
Mozilla finance un portage de Julia en WebAssembly, afin d'effectuer des calculs lourds au sein du navigateur

[matthius]

Il faudra vérifier chaque lien et surtout le code source du processeur déclenché derrière. Je préfère me passer d'Intel pour avoir du Atom dans ce cas là.

Ça m'a affolé qu'on puisse exécuter du Javascript avec un navigateur. Peu d'informaticiens arrivent à déchiffrer l'asm.

Qu'est-ce que implémentations de langage portables ?

[Zefling]

Ça m'a affolé qu'on puisse exécuter du Javascript avec un navigateur. Peu d'informaticiens arrivent à déchiffrer l'asm.

Moi ça m'affole pas plus que ça. J'étais plus affolé par ActiveX où l'on pouvait faire des actions hors du navigateur. JS et Wasm sont cloisonnés à une page de navigateur. Puis aujourd'hui faire un site sans ça c'est compliqué ou fait tout faire à l'ancienne.

Et je te mets au défit de déchirer ce code JS : https://js1k.com/2019-x/details/4130
Pas besoin de faire de l'asm pour rendre un code illisible.