Насколько опасный JavaScript может быть?
Я недавно начал использовать NoScript (в дополнение к ABP). Это взяло некоторое время для привыкания к нему и может иногда требовать некоторого нажатия при посещении нового сайта для исследования, почему не работа сайта и откуда я должен позволить JavaScript. Действительно ли дополнительная безопасность стоит того?
Часть противоречия обсуждена здесь. Я предполагаю, что это сводится к вопросу того, является ли JavaScript подлинной угрозой Вашему компьютеру или нет. Какие-либо мысли об этом?
4 ответа
Причиной NoScript даже существует во-первых, является не обязательно JavaScript по сути, но дыры в системе безопасности в браузере. В прошлом Firefox и других браузерах имели много уязвимостей системы обеспечения безопасности, которые позволили злонамеренному JavaScript делать плохие вещи к системе пользователя. (Во многих случаях собственный код мог быть выполнен через JavaScript, означая, что веб-сайт мог потенциально сделать что-либо к Вашему компьютеру.) Существует также возможность атак с использованием кросс-сайтовых сценариев, как сказанный @Eric.
Однако эти угрозы - очень немногие и далеко между тем, если Вы регулярно не просматриваете теневые веб-сайты, поэтому стоит ли NoScript стычки, ваше дело. Лично, я не нахожу, что это стоит того, особенно полагая, что все больше веб-сайтов требует, чтобы JavaScript функционировал вообще, что означает, что Вы будете постоянно добавлять в белый список сценарии или все домены (и в той точке, Вы побеждаете часть преимущества использования его во-первых).
См. http://en.wikipedia.org/wiki/Cross-site_scripting и http://en.wikipedia.org/wiki/Cross-site_request_forgery для примеров того, как кто-то со злонамеренным намерением может вызвать проблемы с помощью JavaScript.
FWIW - Я лично не прокручиваюсь с NoScript, поскольку я думаю, что это - сильная головная боль. Иногда просто необходимо смотреть, где Вы просматриваете и надежда на лучшее.
- Плохо записанный или злонамеренный JavaScript может разрушить Ваш браузер или заставить его замерзать
JavaScript может использоваться для порождения загрузок на автомобиле
Но, используемый правильно и, как предназначено, JavaScript действительно улучшает опыт просмотра веб-страниц
Существуют за и против, но в целом это стоит проблемы. Для записи я всегда использую расширение NoScript, выборочно включая сценарии для сайтов, которые я регулярно посещаю, и я ожидаю, безопасны.
В то время как технически было использование в обработке изображений и XML, представляющем и т.п., во всех отношениях, существует в настоящее время три вектора нападения: социальная инженерия (обманывающий пользователя, заставляя пользователя петлять), плагины (Flash) и JavaScript.
JavaScript непосредственно позволяет инструкциям быть выполненными, и это особенно плохо в случае Internet Explorer из-за невероятно плохого решения и реализации элементов управления ActiveX в прошлом (хотя Microsoft улучшилась в этом отношении). Вы также не должны обязательно переходить к теневым сайтам, поскольку реклама вручена в JavaScript и существует несколько случаев того, где злонамеренная реклама была вручена законным сайтам.
Короткий ответ: Если Вы собираетесь волноваться об угрозах, существует три вещи, которые будут касаться: Internet Explorer, Flash и JavaScript.