Наскільки небезпечним може бути JavaScript?

Нещодавно я почав використовувати NoScript (крім ABP). Щоб звикнути до нього, потрібно час від часу зажадати певного клацання, щоб дізнатися, чому сайт не працює, і де мені потрібно дозволити JavaScript. Чи варто додаткового забезпечення?

Деякі суперечки обговорюються тут . Я вважаю, що це зводиться до питання, чи справжній JavaScript загроза вашому комп'ютеру чи ні. Будь-які думки з цього приводу?

Причиною, що NoScript навіть існує в першу чергу, це не обов’язково JavaScript сам по собі , а отвори у захисті. У минулому Firefox та інші браузери мали багато вразливих місць безпеки, які дозволяли зловмисному JavaScript робити погані дії в системі користувача. (У багатьох випадках власний код може бути виконаний через JavaScript. Це означає, що веб-сайт потенційно може зробити що-небудь на вашому комп'ютері.) Існує також можливість нападів сценаріїв міжміських сайтів , як @Eric сказав.

Однак цих загроз дуже мало і далеко між ними, якщо ви регулярно не переглядаєте тінисті веб-сайти, тож чи варто вартувати клопоту NoScript чи ні. Особисто я не вважаю, що цього варто, особливо враховуючи, що все більше веб-сайтів вимагають взагалі функціонування JavaScript, а це означає, що ви постійно будете мати білі скрипти або цілі домени (і в цей момент ви перемагаєте деякі з вигода від його використання в першу чергу).

Див. Http://en.wikipedia.org/wiki/Cross-site_scripting та http://en.wikipedia.org/wiki/Cross-site_request_forgery для прикладів того, як хтось із шкідливим наміром може викликати проблеми за допомогою JavaScript.

FWIW - Я особисто не роллю з NoScript, оскільки думаю, що це головний біль. Іноді просто потрібно дивитися, де ти переглядаєш, і сподіватися на краще.

• Погано написаний чи зловмисний JavaScript може зламати ваш веб-переглядач або призвести до його застигання

• JavaScript може бути використаний, щоб викликати завантаження з драйву

• Але при правильному використанні та за призначенням JavaScript покращує роботу веб-сторінок

Є плюси і мінуси, але в цілому це варто клопоту. Для запису я завжди використовую розширення NoScript, вибірково включаючи сценарії для сайтів, які я регулярно відвідую, і я вважаю, що вони безпечні.

Хоча технічно використовуються подробиці в обробці зображень та рендерингу XML тощо, для всіх намірів і цілей в даний час є три вектори атаки: соціальна інженерія (обманює користувача, змушує користувача запускати шкідливий файл), плагіни (Flash) , та JavaScript.

JavaScript безпосередньо дозволяє запускати інструкції, і це особливо погано у випадку з Internet Explorer через неймовірно погані рішення та реалізацію елементів керування ActiveX в минулому (хоча Microsoft в цьому плані покращився). Вам також не обов'язково відвідувати тінисті сайти, оскільки реклама розміщується в JavaScript, і є кілька випадків, коли зловмисна реклама розміщується на законних сайтах.

Коротка відповідь: Якщо ви збираєтеся турбуватися про загрози, слід турбуватися про три речі: Internet Explorer, Flash та JavaScript.

Дуже мало комп'ютерів, якщо будь-які комп’ютери, підключені до Інтернету, є захищеними від експлуатації. Один навіть не знадобився ні MeltDown, ні Spectre, щоб отримати зловмисну ​​рекламу на вашій машині, вона надходила з надійних веб-сайтів, як це завжди є.

Ось чому в минулому році епідемія шкідливих оголошень настільки сильно погіршилася. Примусові переадресації з групи Zirconium підштовхують підроблені зловмисні програми та фальшиві оновлення Flash. ДАН ГУДИН - 23.01.2018, 5:00

У 1990-х роках Netscape Navigator підписав javaScript з цифровим підписом, зараз нам потрібна вдосконалена версія.

JavaScript не обов'язково мусить ваш комп’ютер, щоб завдати вам шкоди. Ось декілька простих прикладів снайперів JavaScript, які можна використовувати для крадіжки вашої банківської інформації та надсилання її віддаленому зловмиснику:

https://www.smartspate.com/four-javascript-sniffer-that-will-show-how-careful-you-should-be-with-online-purchasing/