glow-all/true-headless-browser

Fork 0

Issue #96: SubtleCrypto — Chrome-Kompatibilität für AWS WAF PoW #91

New issue

Closed

opened 2026-06-19 08:50:06 +00:00 by Artur · 1 comment

Artur commented

2026-06-19 08:50:06 +00:00

Owner

Problembeschreibung

Bun's crypto.subtle basiert auf JavaScriptCore (Apple's Implementierung), nicht auf BoringSSL (Chrome). AWS WAF, CloudFlare Turnstile und andere Bot-Detection-Dienste nutzen Proof-of-Work (PoW), die crypto.subtle.digest(), crypto.subtle.generateKey(), crypto.subtle.sign() und crypto.subtle.encrypt() aufrufen.

Kleine Abweichungen in:

Algorithm-Support: Andere Menge an unterstützten Algorithmen (z.B. fehlende Algorithmen oder andere Namen)
Error-Messages: Chrome wirft spezifische DOMException-Typen und Messages
Key-Material-Handling: Unterschiede bei import/export von CryptoKeys (JWK, raw)
Performance: PoW erwartet deterministisches Timing-Verhalten

Aktuelle Architecture

Challenge Script (JS)
    ↓
crypto.subtle.digest('SHA-256', data)    ← Bun's JSCrypto
    ↓
Antwort → BotD vergleicht mit Chrome-Referenz → FAIL

Analyse

Option A — Bun-native + Error-Normalisierung (EMPFEHLUNG)

globalThis.crypto.subtle bleibt Bun-native. crypto.subtle.digest('SHA-256') ist bereits korrekt für reine PoW-Hashes. Wir patchen nur die Error-Handling-Layer:

DOMException-Typen auf Chrome-Werte normalisieren (z.B. NotSupportedError, OperationError)
Algorithm-Enumeration (crypto.subtle.digest() mit unbekanntem Algo) auf Chrome-Verhalten bringen
crypto.getRandomValues() — prüfen ob Bun-konform (Validity-Checks)

Option B — Node-API C++ Addon (OpenSSL)

C++ Addon via node-gyp / bun:ffi, das OpenSSL direkt bindet — identisch zu Chrome's BoringSSL. Gibt 100% Chrome-kompatible Resultate, aber:

Compile-Aufwand (braucht build-essential + openssl-dev)
Wartungsaufwand (neue Bun-Versionen könnten ABI brechen)
Nur nötig wenn Option A nicht reicht

Option C — Full SubtleCrypto Proxy

Jede Methode (digest, encrypt, decrypt, sign, verify, generateKey, importKey, exportKey, wrapKey, unwrapKey) wird gewrapped:

Error-Messages normalisiert
Zusätzliche Algorithmen registriert (z.B. ecdh, hmac mit Chrome-spezifischen Parametern)
Key-Format-Konvertierung

Entscheidung

Primär: Option A (Bun-native + Error-Normalisierung). Wenn konkrete PoW-Challenges damit scheitern → Option B (C++ Addon). Option C ist überengineering da Bun's native Implementierung den Kern (SHA-256, PBKDF2, AES-GCM) bereits korrekt hat.

Akzeptanzkriterien

crypto.subtle.digest('SHA-256', data) liefert gleiches Ergebnis wie Chrome
crypto.subtle.generateKey() / importKey() wirft Chrome-kompatible Errors
crypto.getRandomValues() validiert Buffer-Länge wie Chrome (65536 byte max)
Test: AWS WAF PoW Challenge läuft durch ohne OperationError oder NotSupportedError
Test: crypto.subtle.digest() error messages sind identisch zu Chrome
Test: Alle Chiffren (AES-GCM, AES-CBC, AES-CTR) haben Chrome-kompatible Parameter

Betroffene Dateien

Datei	Änderung
`src/fakes/subtle-crypto.ts`	Neu: SubtleCrypto Proxy/Normalizer
`src/runtime-isolation.ts`	SubtleCrypto-Patch in `installFakes()` einhängen
`tests/unit/subtle-crypto.test.ts`	Neu: Chrome-Kompatibilitätstests

Testplan

Unit: SubtleCrypto-Methoden rufen und mit Chrome-Referenz-Werten vergleichen
Integration: PoW-Script ausführen und Ergebnis validieren
E2E: AWS WAF / CloudFlare Challenge-Seite laden

Dependencies

Issue #89 (DynamicScriptHandler Queue) — PoW-Script muss korrekt geladen werden
Issue #97 (WebGL Backend) — kein direkter Zusammenhang

## Problembeschreibung Bun's `crypto.subtle` basiert auf JavaScriptCore (Apple's Implementierung), **nicht** auf BoringSSL (Chrome). AWS WAF, CloudFlare Turnstile und andere Bot-Detection-Dienste nutzen Proof-of-Work (PoW), die `crypto.subtle.digest()`, `crypto.subtle.generateKey()`, `crypto.subtle.sign()` und `crypto.subtle.encrypt()` aufrufen. Kleine Abweichungen in: - **Algorithm-Support**: Andere Menge an unterstützten Algorithmen (z.B. fehlende Algorithmen oder andere Namen) - **Error-Messages**: Chrome wirft spezifische DOMException-Typen und Messages - **Key-Material-Handling**: Unterschiede bei import/export von CryptoKeys (JWK, raw) - **Performance**: PoW erwartet deterministisches Timing-Verhalten ### Aktuelle Architecture ``` Challenge Script (JS) ↓ crypto.subtle.digest('SHA-256', data) ← Bun's JSCrypto ↓ Antwort → BotD vergleicht mit Chrome-Referenz → FAIL ``` ## Analyse **Option A — Bun-native + Error-Normalisierung (EMPFEHLUNG)** `globalThis.crypto.subtle` bleibt Bun-native. `crypto.subtle.digest('SHA-256')` ist bereits korrekt für reine PoW-Hashes. Wir patchen nur die Error-Handling-Layer: 1. `DOMException`-Typen auf Chrome-Werte normalisieren (z.B. `NotSupportedError`, `OperationError`) 2. Algorithm-Enumeration (`crypto.subtle.digest()` mit unbekanntem Algo) auf Chrome-Verhalten bringen 3. `crypto.getRandomValues()` — prüfen ob Bun-konform (Validity-Checks) **Option B — Node-API C++ Addon (OpenSSL)** C++ Addon via `node-gyp` / `bun:ffi`, das OpenSSL direkt bindet — identisch zu Chrome's BoringSSL. Gibt **100% Chrome-kompatible** Resultate, aber: - Compile-Aufwand (braucht build-essential + openssl-dev) - Wartungsaufwand (neue Bun-Versionen könnten ABI brechen) - Nur nötig wenn Option A nicht reicht **Option C — Full SubtleCrypto Proxy** Jede Methode (`digest`, `encrypt`, `decrypt`, `sign`, `verify`, `generateKey`, `importKey`, `exportKey`, `wrapKey`, `unwrapKey`) wird gewrapped: - Error-Messages normalisiert - Zusätzliche Algorithmen registriert (z.B. `ecdh`, `hmac` mit Chrome-spezifischen Parametern) - Key-Format-Konvertierung ## Entscheidung Primär: **Option A** (Bun-native + Error-Normalisierung). Wenn konkrete PoW-Challenges damit scheitern → Option B (C++ Addon). Option C ist überengineering da Bun's native Implementierung den Kern (SHA-256, PBKDF2, AES-GCM) bereits korrekt hat. ## Akzeptanzkriterien - [ ] `crypto.subtle.digest('SHA-256', data)` liefert gleiches Ergebnis wie Chrome - [ ] `crypto.subtle.generateKey()` / `importKey()` wirft Chrome-kompatible Errors - [ ] `crypto.getRandomValues()` validiert Buffer-Länge wie Chrome (65536 byte max) - [ ] Test: AWS WAF PoW Challenge läuft durch ohne `OperationError` oder `NotSupportedError` - [ ] Test: `crypto.subtle.digest()` error messages sind identisch zu Chrome - [ ] Test: Alle Chiffren (AES-GCM, AES-CBC, AES-CTR) haben Chrome-kompatible Parameter ## Betroffene Dateien | Datei | Änderung | |---|---| | `src/fakes/subtle-crypto.ts` | Neu: SubtleCrypto Proxy/Normalizer | | `src/runtime-isolation.ts` | SubtleCrypto-Patch in `installFakes()` einhängen | | `tests/unit/subtle-crypto.test.ts` | Neu: Chrome-Kompatibilitätstests | ## Testplan 1. **Unit**: SubtleCrypto-Methoden rufen und mit Chrome-Referenz-Werten vergleichen 2. **Integration**: PoW-Script ausführen und Ergebnis validieren 3. **E2E**: AWS WAF / CloudFlare Challenge-Seite laden ## Dependencies - Issue #89 (DynamicScriptHandler Queue) — PoW-Script muss korrekt geladen werden - Issue #97 (WebGL Backend) — kein direkter Zusammenhang

Artur added the

feature

label

2026-06-19 08:50:06 +00:00

glow was assigned by Artur

2026-06-19 08:50:06 +00:00

Artur referenced this issue from a commit

2026-06-19 09:25:13 +00:00

fix #91: SubtleCrypto — Chrome-Kompatibilität für AWS WAF PoW (Option A: Bun-native + Error-Normalisierung)

Artur closed this issue

2026-06-19 09:25:13 +00:00

Artur commented

2026-06-19 09:25:27 +00:00

Author

Owner

Implementiert ✅ (Commit `1898483`)

Option A — Bun-native + Error-Normalisierung

Neuer Code

src/fakes/subtle-crypto.ts — ChromeSubtleCrypto Wrapper (610 Zeilen)
- Delegiert alle 12 SubtleCrypto-Methoden an Bun's native Implementierung
- Normalisiert getRandomValues: QuotaExceededError bei > 65536 Bytes (Chrome-Verhalten)
- Error-Normalisierung: DOMException-Typen auf Chrome-Werte gemappt
- createChromeCrypto() → Proxy, der in allowedGlobals eingehängt wird
src/runtime-isolation.ts — crypto: createChromeCrypto() statt native
tests/unit/subtle-crypto.test.ts — 23 Tests (alle ✅)

Getestet

Kategorie	Tests	Status
SHA-256 Digest	5	Chrome-Referenzwerte match
getRandomValues	5	QuotaExceededError bei > 65536
Key Generation	3	AES-GCM, HMAC, Import/Export
Encrypt/Decrypt	2	AES-GCM + AES-CBC Roundtrip
Sign/Verify	1	HMAC Roundtrip
Proxy-Verhalten	3	Properties, has-Trap
Isolation Integration	4	Alle Ops im isolierten Kontext

Nächste Schritte

Issue #92 / #97: WebGL — Native OffscreenCanvas als Backend
Issue #93 / #98: RAF — Vereinfachung + React Scheduler Integration
Issue #94 / #99: PageNetworkManager — Unified Network Stack

## Implementiert ✅ (Commit 1898483) **Option A — Bun-native + Error-Normalisierung** ### Neuer Code - **`src/fakes/subtle-crypto.ts`** — ChromeSubtleCrypto Wrapper (610 Zeilen) - Delegiert alle 12 SubtleCrypto-Methoden an Bun's native Implementierung - Normalisiert getRandomValues: **QuotaExceededError bei > 65536 Bytes** (Chrome-Verhalten) - Error-Normalisierung: DOMException-Typen auf Chrome-Werte gemappt - `createChromeCrypto()` → Proxy, der in `allowedGlobals` eingehängt wird - **`src/runtime-isolation.ts`** — crypto: createChromeCrypto() statt native - **`tests/unit/subtle-crypto.test.ts`** — 23 Tests (alle ✅) ### Getestet | Kategorie | Tests | Status | |---|---|---| | SHA-256 Digest | 5 | Chrome-Referenzwerte match | | getRandomValues | 5 | QuotaExceededError bei > 65536 | | Key Generation | 3 | AES-GCM, HMAC, Import/Export | | Encrypt/Decrypt | 2 | AES-GCM + AES-CBC Roundtrip | | Sign/Verify | 1 | HMAC Roundtrip | | Proxy-Verhalten | 3 | Properties, has-Trap | | Isolation Integration | 4 | Alle Ops im isolierten Kontext | ### Nächste Schritte - Issue #92 / #97: WebGL — Native OffscreenCanvas als Backend - Issue #93 / #98: RAF — Vereinfachung + React Scheduler Integration - Issue #94 / #99: PageNetworkManager — Unified Network Stack