Насколько опасным может быть JavaScript?

9

Я недавно начал использовать NoScript (в дополнение к ABP). Потребовалось немного времени, чтобы привыкнуть к нему, и иногда может потребоваться некоторое нажатие при посещении нового сайта, чтобы выяснить, почему сайт не работает и откуда мне нужно разрешить JavaScript. Стоит ли дополнительная безопасность?

Некоторые противоречия обсуждаются здесь . Я полагаю, что все сводится к тому, является ли JavaScript реальной угрозой для вашего компьютера или нет. Есть мысли по этому поводу?

security javascript Гордон Густафсон
источник
2
Попробуйте tinyurl.com/y8qdwsv, если вы чувствуете, что просмотр без NoScript - хорошая идея.
Джош К
1
Попробуйте tinyurl.com/ydwxk63, если хотите очень сильно смеяться.
Хасаан Чоп
@JoshK owwww, CPU и mem идут вверх!
Максим Заславский
1
И многие вещи, вероятно, терпят крах. Это 2.4MB из iframe«s
Josh K
@Josh K: Я очень разочарован тем, что FireFox позволил это. Опера демонстрирует иное поведение (не столь раздражающее), но оно все еще отстает. Chrome совсем не суетится; кажется, ограничивает частоту его появления. (Да, я был достаточно глуп, чтобы попробовать это 3 раза)
mpen

Ответы:

3

Причина, по которой NoScript вообще существует, - это не обязательно JavaScript как таковой , а дыры в безопасности браузера. В прошлом Firefox и другие браузеры имели много уязвимостей, которые позволяли вредоносному JavaScript делать плохие вещи для системы пользователя. (Во многих случаях нативный код может быть выполнен с помощью JavaScript, что означает, что веб-сайт потенциально может сделать что-нибудь для вашего компьютера.) Также существует возможность межсайтовых скриптовых атак, как сказал @Eric.

Тем не менее, эти угрозы очень редки, если вы регулярно не просматриваете сомнительные веб-сайты, так что стоит ли NoScript оправдывать ваши хлопоты. Лично я не считаю, что это того стоит, особенно если учесть, что все большему количеству веб-сайтов требуется JavaScript для работы вообще, а это означает, что вы будете постоянно вносить в белый список сценарии или целые домены (и в этот момент вы побеждаете некоторые из польза от его использования в первую очередь).

оборота Саша Чедыгов
источник
4

См. Http://en.wikipedia.org/wiki/Cross-site_scripting и http://en.wikipedia.org/wiki/Cross-site_request_forgery для примеров того, как кто-то со злым умыслом может вызвать проблемы с использованием JavaScript.

FWIW - я лично не работаю с NoScript, так как считаю, что это большая головная боль. Иногда вам просто нужно посмотреть, где вы просматриваете, и надеяться на лучшее.

Eric
источник
2
Я не знаю, я думаю, что оба из них больше заботят веб-разработчика, чем пользователя. Я полагаю, что плохо спроектированный сайт подвержен таким недостаткам, которые, в свою очередь, могут поставить под угрозу данные пользователя ... но на самом деле, какие вещи они украдут? Вы имя пользователя на каком-то грязном форуме? Whoopy Doo. Это важно только тогда, когда у вас есть информация о кредитной карте и прочее, но вы никогда не должны вводить такую ​​информацию на сайт, которому вы в первую очередь не доверяете.
2010 г.
2
@ Марк, ты понимаешь, что такое CSRF? Скажем, у вас есть браузер, открытый для вашего банка, и еще одна вкладка, открытая для злого сайта. С помощью CSRF злой сайт может заставить ваш браузер сделать запрос в ваш банк на перевод всех ваших денег с вашего счета.
Zoredache
1
Вы можете защитить себя от CSRF, выйдя из конфиденциальных сайтов, прежде чем отправиться в другое место. Хотя я хотел бы думать, что банки были бы разработаны без этой явной дыры, я знаю, что они не были в прошлом.
Зуран
1
  • Плохо написанный или вредоносный JavaScript может привести к сбою в работе вашего браузера или вызвать его зависание

  • JavaScript может быть использован для загрузки с диска

  • Но, при правильном использовании по назначению, JavaScript расширяет возможности просмотра веб-страниц

Есть плюсы и минусы, но в целом это стоит того. Для записи я всегда использую расширение NoScript, выборочно включая сценарии для сайтов, которые я регулярно посещаю, и я ожидаю, что они безопасны.

Грант Пэйлин
источник
0

Хотя технически использовались эксплойты в обработке изображений и рендеринге XML и т. П., Для всех целей и задач в настоящее время существует три направления атаки: социальная инженерия (обман пользователя, получение пользователем запуска вредоносного файла), плагины (Flash) и JavaScript.

JavaScript напрямую позволяет выполнять инструкции, и это особенно плохо в случае с Internet Explorer из-за невероятно плохого решения и реализации элементов управления ActiveX в прошлом (хотя Microsoft улучшила это положение). Вам также не нужно обязательно заходить на теневые сайты, так как реклама показывается на JavaScript, и во многих случаях вредоносная реклама показывается на законных сайтах.

Краткий ответ: если вы собираетесь беспокоиться об угрозах, следует обратить внимание на три аспекта: Internet Explorer, Flash и JavaScript.

Zurahn
источник
«JavaScript напрямую позволяет выполнять инструкции» - источник? Это верно в более старой версии IE из-за ActiveX, но в настоящее время это происходит только тогда, когда обнаруживаются эксплойты безопасности, которые обычно исправляются довольно быстро. Сам по себе JavaScript на самом деле мало что может сделать для вашей системы - в большинстве случаев он может замедлить работу или может привести к сбою вашего браузера.
Саша Чедыгов
2
JavaScript - это язык программирования, вы пишете инструкции. Я не имею в виду инструкции на уровне машинного кода, я имею в виду сам язык - что выполнение JavaScript - это выполнение кода; Не больше, не меньше. Можно сравнить с HTML и CSS (кроме eval в IE), которые носят чисто описательный характер. Из-за этого вероятность уязвимостей с помощью JavaScript астрономически выше - JavaScript является доброкачественным, только если нет ошибок ни в реализации, ни в спецификациях, которые никогда не произойдут.
Зуран
0

Очень мало компьютеров, если есть компьютеры, подключенные к Интернету, являются доказательством эксплойта. Для того чтобы получать вредоносную рекламу на вашем компьютере, даже не нужны были ни MeltDown, ни Spectre.

Вот почему в прошлом году эпидемия вредоносной рекламы значительно усилилась. Принудительные перенаправления от группы циркония подталкивают фальшивые вредоносные программы и фальшивые обновления Flash. Дан Гудин - 23.01.2008, 5:00

В 1990-х годах Netscape Navigator имел цифровую подпись javaScript, нам нужна улучшенная версия этого сейчас.

мин
источник
0

JavaScript не обязательно должен очищать ваш компьютер, чтобы причинить вам вред. Вот несколько простых примеров снифферов JavaScript, которые можно использовать для кражи вашей банковской информации и отправки ее удаленному злоумышленнику:

https://www.smartspate.com/four-javascript-sniffer-that-will-show-how-careful-you-should-be-with-online-purchasing/

pevogam
источник