JavaScript ne kadar tehlikeli olabilir?

9

Son zamanlarda NoScript kullanmaya başladım ( ABP'ye ek olarak). Alışmak biraz zaman aldı ve bazen sitenin neden çalışmadığını ve JavaScript'ten izin vermem gereken yerleri araştırmak için yeni bir siteyi ziyaret ederken biraz tıklama gerektirebilir. Ekstra güvenlik buna değer mi?

Tartışmanın bir kısmı burada tartışılmıştır . Sanırım JavaScript'in bilgisayarınız için gerçek bir tehdit olup olmadığı meselesine bağlı. Bunun hakkında bir fikrin var mı?

security  javascript 
Gordon Gustafson
kaynak
2
NoScript olmadan göz atmanın iyi bir fikir olduğunu düşünüyorsanız tinyurl.com/y8qdwsv'yi deneyin .
Josh K
1
Çok sert gülmek istiyorsanız tinyurl.com/ydwxk63'yi deneyin .
Mart'ta Hasaan Chop
@JoshK owwww, CPU ve mem yükseliyor!
Maxim Zaslavsky
1
Ve muhtemelen birkaç şey çöküyor. Bu 2.4MB iframe's
Josh K
@Josh K: FireFox'un buna izin verdiğinden oldukça hayal kırıklığına uğradım. Opera farklı davranışlar sergiliyor (neredeyse sinir bozucu değil) ama yine de yavaşlıyor. Chrome çok fazla yaygara atmıyor; açılır pencerenin ne sıklıkta sınırlanabileceği anlaşılıyor. (Evet, 3 kez denemek için yeterince aptaldım)
Mart'ta

Yanıtlar:

3

NoScript'in ilk etapta var olmasının nedeni, mutlaka JavaScript'in kendisi değil, tarayıcıdaki güvenlik açıklarıdır. Geçmişte Firefox ve diğer tarayıcılarda, kötü niyetli JavaScript'in bir kullanıcının sistemine kötü şeyler yapmasına izin veren birçok güvenlik açığı vardı. (Çoğu durumda yerel kod JavaScript aracılığıyla yürütülebilir, yani bir web sitesi bilgisayarınıza potansiyel olarak herhangi bir şey yapabilir.) @Eric'in dediği gibi siteler arası komut dosyası saldırıları olasılığı da vardır .

Bununla birlikte, gölgeli web sitelerine düzenli olarak göz atmadığınız sürece bu tehditler çok az ve çok uzaktır, bu nedenle NoScript'in uğraşmaya değer olup olmadığı size bağlıdır. Şahsen, buna değer bulmuyorum, özellikle daha fazla web sitesinin JavaScript'in çalışması için hiç gerektirmediğini düşünürsek, bu da sürekli olarak komut dosyalarını veya tüm alan adlarını beyaz listeye alacağınız anlamına gelir (ve bu noktada, bazılarını ilk etapta kullanmanın yararı).

Sasha Chedygov
kaynak
4

Bkz http://en.wikipedia.org/wiki/Cross-site_scripting ve http://en.wikipedia.org/wiki/Cross-site_request_forgery kötü amaçlı birinin sorunlarını JavaScript kullanarak neden olabilir ilişkin örnekleri.

FWIW - Bence büyük bir baş ağrısı olduğunu düşündüğüm için NoScript ile oynamıyorum. Bazen nereye gittiğinizi izlemeniz ve en iyisini ummanız gerekir.

Eric
kaynak
2
Bilmiyorum, her ikisinin de web geliştiricisi için kullanıcıdan daha büyük endişeler olduğunu düşünüyorum. Kötü bir şekilde tasarlanmış bir sitenin kullanıcı verilerinin güvenliğini bozabilecek bu tür kusurlara karşı duyarlı olduğunu düşünüyorum. Ama gerçekten ne tür şeyler çalacaklar? Eğer bazı crummy forum kullanıcı adı? Whoopy doo. Önemli olan tek şey kredi kartı bilgileriniz ve eşyalarınız olduğunda, ancak bu tür bilgileri asla ilk etapta güvenmediğiniz bir siteye girmemeniz gerektiğidir.
Mart'ta
2
@ Mark, CSRF'nin ne olduğunu anlıyor musunuz? Diyelim ki tarayıcınız bankanıza açık ve kötü bir siteye açık başka bir sekme Bir CSRF ile kötü site, tarayıcınızı kandırarak tüm paranızı hesabınızdan transfer etmesini isteyebilir.
Zoredache
1
Başka bir yere gitmeden önce hassas sitelerden çıkış yaparak kendinizi CSRF'den koruyabilirsiniz. Bankaların bu göz kamaştırıcı delik olmadan tasarlanacağını düşünmeme rağmen, geçmişte olmadıklarını biliyorum.
Zurahn
1
  • Kötü yazılmış veya kötü amaçlı JavaScript tarayıcınızı kilitleyebilir veya donmasına neden olabilir

  • Drive-by indirmelerine neden olmak için JavaScript kullanılabilir

  • Ancak, doğru ve amaçlandığı şekilde kullanılan JavaScript, web'de gezinme deneyimini geliştirir

Artıları ve eksileri var, ama genel olarak belaya değer. Kayıt için her zaman NoScript uzantısını kullanıyorum, düzenli olarak ziyaret ettiğim siteler için komut dosyalarını seçerek etkinleştiriyorum ve güvenli olmasını bekliyorum.

Grant Palin
kaynak
0

Teknik olarak görüntü işleme ve XML oluşturma ve benzerlerinde istismarlar olsa da, tüm niyetler ve amaçlar için şu anda üç saldırı vektörü vardır: sosyal mühendislik (kullanıcıyı kandırmak, kullanıcıyı kötü amaçlı bir dosya çalıştırmasını sağlamak), eklentiler (Flash) ve JavaScript.

JavaScript doğrudan talimatların çalıştırılmasına izin verir ve geçmişte ActiveX denetimlerinin inanılmaz derecede zayıf kararı ve uygulanması nedeniyle Internet Explorer söz konusu olduğunda özellikle kötüdür (Microsoft bu konuda iyileşmiş olsa da). Ayrıca, reklamlar JavaScript'te sunulduğundan ve yasal sitelere kötü amaçlı reklamların sunulduğu birden fazla durum olduğundan, mutlaka gölgeli sitelere gitmeniz gerekmez.

Kısa cevap: Tehditler konusunda endişelenecekseniz, endişelenmeniz gereken üç şey vardır: Internet Explorer, Flash ve JavaScript.

Zurahn
kaynak
"JavaScript doğrudan talimatların yürütülmesine izin verir" - kaynak? Bu, ActiveX nedeniyle IE'nin eski sürümünde doğrudur, ancak günümüzde sadece güvenlik açıkları bulunduğunda gerçekleşir ve bunlar genellikle oldukça hızlı bir şekilde yamalanır. JavaScript'in kendisi aslında sisteminize çok fazla şey yapamaz - en fazla yavaşlayabilir veya tarayıcınızı bozabilir.
Sasha Chedygov
2
JavaScript bir programlama dilidir, talimatları yazarsınız. Makine kodu düzeyindeki talimatlardan bahsetmiyorum, dilin kendisinden bahsediyorum - çalışan JavaScript kod çalıştırıyor; ne fazla ne az. Tamamen açıklayıcı olan HTML ve CSS (IE'de eval dışında) ile karşılaştırılabilir. Bu nedenle, JavaScript aracılığıyla güvenlik açıkları olasılığı astronomik olarak daha yüksektir - JavaScript yalnızca uygulamada veya spesifikasyonlarda hiçbir zaman olmayacak hiçbir hata yoksa iyi huyludur.
Zurahn
0

İnternete bağlı herhangi bir bilgisayar çok az bilgisayar istismar kanıtıdır. Makinenizde kötü amaçlı reklam almak için MeltDown veya Spectre'ye bile gerek yoktu, her zaman olduğu gibi güvenilir web sitelerinden geldi.

Kötü amaçlı reklamların salgınının geçen sene bu kadar kötüleşmesinin nedeni, Zirkonyum grubundan zorla yönlendirmeler sahte kötü amaçlı yazılım ve sahte Flash güncellemelerini itti. DAN GOODIN - 23.01.2018, 05:00

1990'larda, Netscape Navigator'ın dijital olarak javaScript imzası vardı, şimdi bunun geliştirilmiş bir versiyonuna ihtiyacımız var.

rjt
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.