Wie gefährlich kann JavaScript sein?

9

Ich habe vor kurzem begonnen, NoScript (zusätzlich zu ABP) zu verwenden. Es hat eine Weile gedauert, bis ich mich daran gewöhnt habe, und gelegentlich kann ein Klick erforderlich sein, wenn ich eine neue Site besuche, um zu untersuchen, warum die Site nicht funktioniert und woher ich JavaScript zulassen muss. Lohnt sich die zusätzliche Sicherheit?

Einige der Kontroversen werden hier diskutiert . Ich nehme an, es kommt darauf an, ob JavaScript eine echte Bedrohung für Ihren Computer darstellt oder nicht. Irgendwelche Gedanken dazu?

security javascript Gordon Gustafson
quelle
2
Versuchen Sie es mit tinyurl.com/y8qdwsv, wenn Sie der Meinung sind, dass das Surfen ohne NoScript eine gute Idee ist.
Josh K
1
Versuchen Sie tinyurl.com/ydwxk63, wenn Sie wirklich hart lachen möchten.
Hasaan Chop
@JoshK owwww, CPU und mem gehen weit nach oben!
Maxim Zaslavsky
1
Und einige Dinge stürzen wahrscheinlich ab. Es ist 2,4 MB von iframe's
Josh K
@ Josh K: Ich bin ziemlich enttäuscht, dass FireFox das erlaubt hat. Opera zeigt ein anderes Verhalten (bei weitem nicht so ärgerlich), aber das schleicht sich immer noch weg. Chrome macht überhaupt keine allzu große Aufregung. es scheint zu begrenzen, wie oft es auftauchen kann. (Ja, ich war dumm genug, es dreimal zu versuchen)
mpen

Antworten:

3

Der Grund, warum NoScript überhaupt existiert, ist nicht unbedingt JavaScript an sich , sondern Sicherheitslücken im Browser. In der Vergangenheit hatten Firefox und andere Browser viele Sicherheitslücken, die es böswilligem JavaScript ermöglichten, dem System eines Benutzers schlechte Dinge anzutun. (In vielen Fällen kann nativer Code über JavaScript ausgeführt werden, was bedeutet, dass eine Website möglicherweise alles mit Ihrem Computer zu tun hat.) Es besteht auch die Möglichkeit von Cross-Site-Scripting- Angriffen, wie @Eric sagte.

Es gibt jedoch nur sehr wenige Bedrohungen, es sei denn, Sie durchsuchen regelmäßig zwielichtige Websites. Ob NoScript den Aufwand wert ist oder nicht, liegt also bei Ihnen. Persönlich finde ich es nicht lohnenswert, insbesondere wenn man bedenkt, dass immer mehr Websites JavaScript benötigen, um überhaupt zu funktionieren, was bedeutet, dass Sie ständig Skripte oder ganze Domains auf die Whitelist setzen (und an diesem Punkt besiegen Sie einige davon der Vorteil der Verwendung in erster Linie).

Sasha Chedygov
quelle
4

Beispiele dafür, wie jemand mit böswilliger Absicht Probleme mit JavaScript verursachen kann, finden Sie unter http://en.wikipedia.org/wiki/Cross-site_scripting und http://en.wikipedia.org/wiki/Cross-site_request_forgery .

FWIW - Ich persönlich spiele nicht mit NoScript, da ich denke, dass es große Kopfschmerzen gibt. Manchmal muss man nur aufpassen, wo man surft, und auf das Beste hoffen.

Eric
quelle
2
Ich weiß nicht, ich denke, beide sind für den Webentwickler ein größeres Problem als für den Benutzer. Ich nehme an, eine schlecht gestaltete Website ist anfällig für solche Fehler, die dann wiederum die Daten des Benutzers gefährden könnten. Aber was für Sachen werden sie wirklich stehlen? Sie Benutzername in einem beschissenen Forum? Whoopy doo. Der einzige Ort, an dem es darauf ankommt, ist, wenn Sie Kreditkarteninformationen und ähnliches haben, aber Sie sollten diese Art von Informationen niemals auf einer Website eingeben, der Sie überhaupt nicht vertrauen.
Mpen
2
@ Mark, verstehst du was CSRF ist? Angenommen, Sie haben Ihren Browser für Ihre Bank geöffnet und einen anderen Tab für eine böse Site. Mit einem CSRF kann die böse Seite Ihren Browser dazu verleiten, eine Anfrage an Ihre Bank zu richten, um Ihr gesamtes Geld von Ihrem Konto zu überweisen.
Zoredache
1
Sie können sich vor CSRF schützen, indem Sie sich von vertraulichen Websites abmelden, bevor Sie an einen anderen Ort wechseln. Obwohl ich gerne glauben würde, dass Banken ohne dieses grelle Loch entworfen würden, weiß ich, dass sie nicht in der Vergangenheit waren.
Zurahn
1
  • Schlecht geschriebenes oder böswilliges JavaScript kann Ihren Browser zum Absturz bringen oder zum Einfrieren führen

  • JavaScript kann verwendet werden, um Drive-by-Downloads zu verursachen

  • Bei richtiger und bestimmungsgemäßer Verwendung verbessert JavaScript jedoch das Surferlebnis im Internet

Es gibt Vor- und Nachteile, aber im Großen und Ganzen ist es die Mühe wert. Für die Aufzeichnung verwende ich immer die NoScript-Erweiterung und aktiviere selektiv Skripte für die Websites, die ich regelmäßig besuche und von denen ich erwarte, dass sie sicher sind.

Grant Palin
quelle
0

Während es technisch gesehen Exploits bei der Bildverarbeitung und beim XML-Rendering und dergleichen gegeben hat, gibt es derzeit in jeder Hinsicht drei Angriffsmethoden: Social Engineering (Betrügen des Benutzers, Ausführen einer schädlichen Datei durch den Benutzer), Plugins (Flash) und JavaScript.

Mit JavaScript können Anweisungen direkt ausgeführt werden, und dies ist im Fall von Internet Explorer aufgrund der unglaublich schlechten Entscheidung und Implementierung von ActiveX-Steuerelementen in der Vergangenheit besonders schlecht (obwohl Microsoft diesbezüglich Verbesserungen vorgenommen hat). Sie müssen auch nicht unbedingt auf schattige Websites gehen, da Anzeigen in JavaScript geschaltet werden und es mehrere Fälle gibt, in denen böswillige Anzeigen auf legitimen Websites geschaltet wurden.

Kurze Antwort: Wenn Sie sich über Bedrohungen Sorgen machen müssen, müssen Sie drei Dinge beachten: Internet Explorer, Flash und JavaScript.

Zurahn
quelle
"Mit JavaScript können Anweisungen direkt ausgeführt werden" - Quelle? Dies gilt in älteren IE-Versionen aufgrund von ActiveX, aber heutzutage geschieht dies nur, wenn Sicherheits-Exploits gefunden werden und diese normalerweise ziemlich schnell gepatcht werden. JavaScript selbst kann Ihrem System nicht viel antun - es kann höchstens langsamer werden oder Ihren Browser zum Absturz bringen.
Sasha Chedygov
2
JavaScript ist eine Programmiersprache, Sie schreiben Anweisungen. Ich beziehe mich nicht auf Anweisungen auf Maschinencodeebene, sondern auf die Sprache selbst - dass beim Ausführen von JavaScript Code ausgeführt wird; nicht mehr und nicht weniger. Im Gegensatz zu HTML und CSS (abgesehen von der Bewertung im IE), die rein beschreibend sind. Aus diesem Grund ist die Wahrscheinlichkeit von Sicherheitslücken durch JavaScript astronomisch höher - JavaScript ist nur dann harmlos, wenn weder bei der Implementierung noch bei den Spezifikationen Fehler auftreten, die niemals auftreten werden.
Zurahn
0

Nur sehr wenige Computer, wenn Computer mit dem Internet verbunden sind, sind ausnutzungssicher. Man brauchte weder MeltDown noch Spectre, um böswillige Werbung auf Ihrem Computer zu schalten. Sie stammte von vertrauenswürdigen Websites, wie es immer der Fall war.

Hier ist der Grund, warum die Epidemie bösartiger Anzeigen im letzten Jahr so ​​viel schlimmer geworden ist. Erzwungene Weiterleitungen von der Zirconium-Gruppe drücken falsche Malware und gefälschte Flash-Updates. DAN GOODIN - 23.01.2008, 5:00 Uhr

In den 90er Jahren hatte Netscape Navigator JavaScript digital signiert. Wir brauchen jetzt eine verbesserte Version davon.

rjt
quelle