Jak niebezpieczny może być JavaScript?

9

Ostatnio zacząłem używać NoScript (oprócz ABP). Przyzwyczajenie się do tego zajęło trochę czasu i może czasami wymagać kliknięcia podczas odwiedzania nowej witryny, aby dowiedzieć się, dlaczego strona nie działa i gdzie muszę zezwolić na JavaScript. Czy warto zwiększyć bezpieczeństwo?

Niektóre z tych kontrowersji zostały omówione tutaj . Przypuszczam, że sprowadza się to do kwestii, czy JavaScript jest prawdziwym zagrożeniem dla twojego komputera, czy nie. Masz jakieś przemyślenia na ten temat?

security javascript Gordon Gustafson
źródło
2
Spróbuj tinyurl.com/y8qdwsv, jeśli uważasz, że przeglądanie bez NoScript jest dobrym pomysłem.
Josh K
1
Spróbuj tinyurl.com/ydwxk63, jeśli chcesz naprawdę się śmiać.
Hasaan Chop
@ JoshK owwww, procesor i pamięć idą w górę!
Maxim Zaslavsky
1
I pewnie kilka rzeczy ulega awarii. To 2,4MB z iframe„s
Josh K
@Josh K: Jestem bardzo rozczarowany, że FireFox na to zezwolił. Opera zachowuje się inaczej (nie tak irytująco), ale wciąż się wkurza. Chrome w ogóle nie robi zamieszania; wydaje się ograniczać częstotliwość wyskakujących okienek. (Tak, byłem na tyle głupi, żeby spróbować 3 razy)
mpen

Odpowiedzi:

3

Powodem NoScript nawet występuje na pierwszym miejscu nie jest koniecznie JavaScript per se , ale bezpieczeństwo dziury w przeglądarce. W przeszłości Firefox i inne przeglądarki miały wiele luk w zabezpieczeniach, które pozwalały złośliwemu skryptowi JavaScript na szkodliwe działanie systemu użytkownika. (W wielu przypadkach natywny kod może być wykonywany przez JavaScript, co oznacza, że ​​strona internetowa może potencjalnie zrobić wszystko na twoim komputerze). Istnieje również możliwość ataków typu cross-site scripting , jak powiedział @Eric.

Zagrożeń tych jest jednak bardzo niewiele, chyba że regularnie przeglądasz podejrzane strony internetowe, więc to, czy warto używać NoScript, zależy od Ciebie. Osobiście nie uważam, żeby było warto, zwłaszcza biorąc pod uwagę, że coraz więcej stron internetowych wymaga JavaScript do działania, co oznacza, że ​​ciągle będziesz znajdować się na białej liście skryptów lub całych domen (iw tym momencie pokonujesz niektóre zaletą korzystania z niego w pierwszej kolejności).

Sasha Chedygov
źródło
4

Zobacz http://en.wikipedia.org/wiki/Cross-site_scripting i http://en.wikipedia.org/wiki/Cross-site_request_forgery, aby dowiedzieć się, jak ktoś ze złośliwymi zamiarami może powodować problemy z użyciem JavaScript.

FWIW - Osobiście nie używam NoScript, ponieważ uważam, że to poważny ból głowy. Czasami musisz po prostu oglądać, gdzie przeglądasz, i mieć nadzieję na najlepsze.

Eric
źródło
2
Nie wiem, myślę, że oba są większym zmartwieniem dla twórcy stron internetowych niż dla użytkownika. Podejrzewam, że źle zaprojektowana strona jest podatna na tego rodzaju wady, które z kolei mogłyby narazić na szwank dane użytkownika… ale tak naprawdę, jakie rzeczy zamierzają ukraść? Masz nazwę użytkownika na jakimś kiepskim forum? Whoopy doo. Ważne jest tylko to, że masz informacje o karcie kredytowej i inne rzeczy, ale nigdy nie powinieneś wpisywać tego rodzaju informacji w witrynie, której nie ufasz.
mpen
2
@Mark, Czy rozumiesz, co to jest CSRF? Załóżmy, że masz otwartą przeglądarkę dla swojego banku i kolejną kartę otwartą dla złej witryny. Z CSRF zła strona może oszukać przeglądarkę, aby poprosić bank o przesłanie wszystkich pieniędzy z konta.
Zoredache
1
Możesz zabezpieczyć się przed CSRF, wylogowując się z wrażliwych stron przed wyjazdem w inne miejsce. Chociaż chciałbym myśleć, że banki zostałyby zaprojektowane bez tej rażącej dziury, wiem, że nie były w przeszłości.
Zurahn
1
  • Źle napisany lub złośliwy kod JavaScript może spowodować awarię przeglądarki lub jej zawieszenie

  • JavaScript może być użyty do spowodowania pobierania z dysku

  • Jednak poprawnie używany i zgodny z przeznaczeniem JavaScript poprawia komfort przeglądania stron internetowych

Są plusy i minusy, ale ogólnie jest to warte kłopotu. Dla przypomnienia, zawsze używam rozszerzenia NoScript, wybiórczo włączając skrypty dla stron, które regularnie odwiedzam i oczekuję, że są bezpieczne.

Grant Palin
źródło
0

Podczas gdy istnieją technicznie exploity w przetwarzaniu obrazu i renderowaniu XML i tym podobne, we wszystkich celach i celach istnieją obecnie trzy wektory ataku: socjotechnika (oszukiwanie użytkownika, zmuszanie go do uruchomienia złośliwego pliku), wtyczki (Flash) i JavaScript.

JavaScript bezpośrednio pozwala na uruchamianie instrukcji, a jest to szczególnie złe w przypadku Internet Explorera z powodu niewiarygodnie złej decyzji i implementacji formantów ActiveX w przeszłości (chociaż Microsoft poprawił się pod tym względem). Nie musisz też koniecznie odwiedzać podejrzanych stron, ponieważ reklamy są wyświetlane w JavaScript i istnieje wiele przypadków, w których złośliwe reklamy były wyświetlane w legalnych witrynach.

Krótka odpowiedź: jeśli masz się martwić zagrożeniami, musisz się martwić o trzy rzeczy: Internet Explorer, Flash i JavaScript.

Zurahn
źródło
„JavaScript umożliwia bezpośrednie uruchamianie instrukcji” - źródło? Dzieje się tak w starszej wersji IE ze względu na ActiveX, ale obecnie dzieje się to tylko wtedy, gdy zostaną znalezione exploity bezpieczeństwa, które zazwyczaj są łatane dość szybko. Sam JavaScript w rzeczywistości nie może wiele zrobić z twoim systemem - co najwyżej może spowolnić lub może spowodować awarię przeglądarki.
Sasha Chedygov
2
JavaScript to język programowania, piszesz instrukcje. Nie odnoszę się do instrukcji na poziomie kodu maszynowego, mam na myśli sam język - że JavaScript jest uruchomiony; nie więcej nie mniej. Kontrastuje z HTML i CSS (oprócz eval w IE), które są czysto opisowe. Z tego powodu prawdopodobieństwo luk w zabezpieczeniach JavaScript jest astronomicznie wyższe - JavaScript jest łagodny tylko wtedy, gdy nie ma błędów we wdrażaniu lub specyfikacjach, co nigdy się nie zdarzy.
Zurahn,
0

Bardzo niewiele komputerów, jeśli jakiekolwiek komputery podłączone do Internetu są odporne na wykorzystanie. Nikt nawet nie potrzebował MeltDown ani Spectre, aby uzyskać złośliwe reklamy na twoim komputerze, pochodziło z zaufanych stron internetowych, jak zawsze.

Oto dlaczego epidemia szkodliwych reklam pogorszyła się w zeszłym roku Wymuszone przekierowania z grupy Zirconium wypchnęły fałszywe złośliwe oprogramowanie i fałszywe aktualizacje Flash. DAN GOODIN - 23.01.2018, 05:00

W latach 90. Netscape Navigator podpisał cyfrowo javaScript, potrzebujemy teraz jego ulepszonej wersji.

rjt
źródło