Revision 514: ASTs, Linter und Security mit Frederik Braun

Published: Feb. 1, 2022, 9:14 a.m.

Mit Frederik Braun (Github, Twitter), Firefox-Security-Gro\xdfmeister und\nWorkingdraft-Dauergast (bekannt aus den Revisionen 447 und 452) beleuchteten\nSchepp und Peter diverse Aspekte rund um ASTs und Security.\n\n\nSCHAUNOTIZEN\n\n[00:01:02] LINTING UND AST\n\nZu Beginn kl\xe4ren wir erst mal, was ein Abstract Syntax Tree \xfcberhaupt ist und\nwie wir ihn mit dem AST explorer erforschen k\xf6nnen. Es gibt unterschiedliche\nFormate und zahlreiche Use Cases (u.A. Statische Analyse via z.B. ESLint und\nMinifier). Den Weg zum AST via Lexer und Parser beschreiben wir grob, empfehlen\nf\xfcr Details aber das Standardwerk Compilers: Principles, Techniques, and Tools.\nFreddys Use Case f\xfcr AST-Arbeit ist das ESLint-Plugin no-unsanitized, das seine\nUrspr\xfcnge im Zusammenhang mit Firefox OS (RIP) hat. \xdcber diesen Weg kommen wir,\nwie sollte es anderes sein, zu Sanitizer- und Security-Geschichten aus Freddys\nAlltag, v.a Multi Account Containers in Firefox, die HTML-Sanitizer-API (Specs,\nWorkdingdraft-Revision 447, WWSIV-Folge zum Thema, Playground) sowie zu\nMorphdom, T\xfccken des HTML-Sanitizer-Baus und des HTML-Parsings, Custom Elements\nund allgemeinen Securityfragen. Unser Fazit: Unsicherheit hat sich als Konzept\nnicht bew\xe4hrt und sollte abgeschafft werden.