Quanto può essere pericoloso JavaScript?

9

Di recente ho iniziato a utilizzare NoScript (oltre a ABP). Ci è voluto un po 'di tempo per abituarsi e può occasionalmente richiedere qualche clic quando si visita un nuovo sito per scoprire perché il sito non funziona e da dove devo consentire JavaScript. Ne vale la pena la sicurezza extra?

Alcune delle controversie sono discusse qui . Suppongo che si riduca alla questione se JavaScript sia o meno una vera minaccia per il tuo computer. Qualche idea su questo?

security  javascript 
Gordon Gustafson
fonte
2
Prova tinyurl.com/y8qdwsv se ritieni che navigare senza NoScript sia un'idea decente.
Josh K,
1
Prova tinyurl.com/ydwxk63 se vuoi ridere davvero forte.
Hasaan Chop,
@JoshK owwww, CPU e mem salgono!
Maxim Zaslavsky,
1
E molte cose probabilmente si schiantano. Sono 2,4 MB di iframe"s
Josh K il
@Josh K: Sono piuttosto deluso dal fatto che FireFox lo abbia permesso. L'Opera mostra comportamenti diversi (non altrettanto fastidiosi), ma che comunque si allontanano. Chrome non fa troppe storie; sembra limitare la frequenza con cui può apparire. (Sì, sono stato abbastanza stupido da provarlo 3 volte)
mpen

Risposte:

3

Il motivo per cui NoScript esiste anche in primo luogo non è necessariamente JavaScript in , ma falle di sicurezza nel browser. In passato Firefox e altri browser avevano molte vulnerabilità di sicurezza che hanno permesso a JavaScript dannoso di fare cose cattive al sistema di un utente. (In molti casi il codice nativo potrebbe essere eseguito tramite JavaScript, il che significa che un sito Web potrebbe potenzialmente fare qualsiasi cosa sul tuo computer.) Esiste anche la possibilità di attacchi di scripting tra siti , come ha detto @Eric.

Tuttavia, queste minacce sono molto poche e distanti tra loro a meno che non navighi regolarmente su siti Web ombreggiati, quindi se NoScript vale o meno la seccatura dipende da te. Personalmente, non trovo che ne valga la pena, soprattutto considerando che sempre più siti Web richiedono JavaScript per funzionare, il che significa che sarai costantemente autorizzato a scrivere script o interi domini (e a quel punto, stai sconfiggendo alcuni dei il vantaggio di usarlo in primo luogo).

Sasha Chedygov
fonte
4

Vedi http://en.wikipedia.org/wiki/Cross-site_scripting e http://en.wikipedia.org/wiki/Cross-site_request_forgery per esempi di come una persona con intenti maliziosi può causare problemi usando JavaScript.

FWIW - Personalmente non lancio con NoScript perché penso che sia un grosso mal di testa. A volte devi solo guardare dove stai navigando e sperare per il meglio.

Eric
fonte
2
Non so, penso che entrambe siano preoccupazioni maggiori per lo sviluppatore web che per l'utente. Suppongo che un sito mal progettato sia suscettibile a quei tipi di difetti che a loro volta potrebbero compromettere i dati dell'utente .. ma davvero, che tipo di cose ruberanno? Hai un nome utente su qualche forum scadente? Whoopy doo. L'unico aspetto importante è quando hai informazioni sulla carta di credito e roba, ma non dovresti mai inserire quel tipo di informazioni su un sito di cui non ti fidi in primo luogo.
mpen
2
@Mark, capisci cos'è CSRF? Supponi di avere il browser aperto sulla tua banca e un'altra scheda aperta su un sito malvagio. Con un CSRF il sito malefico può indurre il tuo browser a fare una richiesta alla tua banca per trasferire tutti i tuoi soldi dal tuo conto.
Zoredache,
1
Puoi proteggerti dal CSRF disconnettendoti da siti sensibili prima di andare altrove. Anche se mi piacerebbe pensare che le banche sarebbero state progettate senza questo buco evidente, so che non sono state in passato.
Zurahn,
1
  • JavaScript mal scritto o dannoso può causare l'arresto anomalo del browser o il blocco

  • JavaScript può essere utilizzato per causare download drive-by

  • Ma, usato correttamente e come previsto, JavaScript migliora l'esperienza di navigazione web

Ci sono pro e contro, ma nel complesso vale la pena. Per la cronaca, utilizzo sempre l'estensione NoScript, abilitando selettivamente gli script per i siti che visito regolarmente e mi aspetto che siano sicuri.

Grant Palin
fonte
0

Mentre ci sono stati tecnicamente exploit nell'elaborazione di immagini e nel rendering XML e simili, a tutti gli effetti ci sono attualmente tre vettori di attacco: ingegneria sociale (ingannare l'utente, convincere l'utente a eseguire un file dannoso), plug-in (Flash) e JavaScript.

JavaScript consente direttamente l'esecuzione delle istruzioni, ed è particolarmente negativo nel caso di Internet Explorer a causa della decisione e dell'implementazione incredibilmente scarse dei controlli ActiveX in passato (anche se Microsoft è migliorata in questo senso). Inoltre, non devi necessariamente andare su siti ombreggiati, poiché gli annunci sono offerti in JavaScript e ci sono più casi in cui sono stati offerti annunci dannosi a siti legittimi.

Risposta breve: se hai intenzione di preoccuparti delle minacce, ci sono tre cose di cui preoccuparti: Internet Explorer, Flash e JavaScript.

Zurahn
fonte
"JavaScript consente di eseguire direttamente le istruzioni" - fonte? Questo è vero nella versione precedente di IE a causa di ActiveX, ma al giorno d'oggi ciò si verifica solo quando vengono rilevati exploit di sicurezza, e questi di solito vengono riparati abbastanza rapidamente. JavaScript stesso in realtà non può fare molto per il tuo sistema - al massimo, potrebbe rallentare o forse bloccare il browser.
Sasha Chedygov,
2
JavaScript è un linguaggio di programmazione, scrivi le istruzioni. Non mi riferisco alle istruzioni a livello di codice macchina, mi riferisco alla lingua stessa - che l'esecuzione di JavaScript è in esecuzione codice; Ne più ne meno. Contrastabile con HTML e CSS (a parte eval in IE) che sono puramente descrittivi. Per questo motivo, la probabilità di vulnerabilità tramite JavaScript è astronomicamente più elevata - JavaScript è benigno solo se non ci sono errori nell'implementazione o nelle specifiche, che non accadranno mai.
Zurahn,
0

Pochissimi computer se qualsiasi computer connesso a Internet è a prova di exploit. Uno non aveva nemmeno bisogno di MeltDown né Spectre per ottenere pubblicità dannosa sul tuo computer, proveniva da siti Web affidabili come sempre.

Ecco perché l'epidemia di annunci dannosi è peggiorata così tanto l'anno scorso. I reindirizzamenti forzati del gruppo Zirconium spingono malware fasulli e falsi aggiornamenti Flash. DAN GOODIN - 23/01/2018, 5:00 AM

Negli anni '90, Netscape Navigator aveva firmato digitalmente javaScript, ora abbiamo bisogno di una versione migliorata.

rjt
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.