<div dir="ltr">A proper solution really is a separate VM, that isolates the complete environment watertight and by default denies all interaction except for those which have been defined as interaction points (alas it would also see to it a DOS attack with a while(1){} appropriately times out).<div><br></div><div>Anything else is really just a hack with security holes waiting to be discovered.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Dec 1, 2014 at 10:35 AM, MichaƂ Wadas <span dir="ltr"><<a href="mailto:michalwadas@gmail.com" target="_blank">michalwadas@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Creating secure implementation of eval without creating your own interpreter (or sophisticated operations on AST) is almost impossible - it would require to copy whole environment and provide mocks to any possibly dangerous function.<br>
At least O(n^2) complexity without ES6 Map. </p>
<br>_______________________________________________<br>
es-discuss mailing list<br>
<a href="mailto:es-discuss@mozilla.org">es-discuss@mozilla.org</a><br>
<a href="https://mail.mozilla.org/listinfo/es-discuss" target="_blank">https://mail.mozilla.org/listinfo/es-discuss</a><br>
<br></blockquote></div><br></div>