Quão perigoso pode ser o JavaScript?

9

Recentemente, comecei a usar o NoScript (além do ABP). Demorou um pouco para me acostumar com isso e, ocasionalmente, pode exigir alguns cliques ao visitar um novo site para investigar por que o site não está funcionando e de onde eu preciso permitir o JavaScript. A segurança extra vale a pena?

Algumas das controvérsias são discutidas aqui . Suponho que tudo se resume a se o JavaScript é uma ameaça genuína ao seu computador ou não. Alguma idéia sobre isso?

security javascript Gordon Gustafson
fonte
2
Tente tinyurl.com/y8qdwsv se você acha que navegar sem o NoScript é uma idéia decente.
Josh K
11
Tente tinyurl.com/ydwxk63 se você quiser rir muito.
quer
@JoshK owwww, CPU e mem sobem muito!
Maxim Zaslavsky,
11
E algumas coisas provavelmente falham. É 2,4MB de iframe's
Josh K
@ Josh K: Estou muito decepcionado que o FireFox tenha permitido isso. O Opera exibe um comportamento diferente (não tão irritante), mas que ainda foge. O Chrome não causa muita confusão; parece limitar a frequência com que ele pode aparecer. (Sim, eu era estúpido o suficiente para tentar 3 vezes)
MPEN

Respostas:

3

O motivo pelo qual o NoScript existe mesmo não é necessariamente o JavaScript em si , mas as falhas de segurança no navegador. No passado, o Firefox e outros navegadores tinham muitas vulnerabilidades de segurança que permitiam que o JavaScript malicioso fizesse coisas ruins ao sistema do usuário. (Em muitos casos, o código nativo pode ser executado por meio de JavaScript, o que significa que um site pode fazer qualquer coisa com seu computador.) Também há a possibilidade de ataques de script entre sites , como o @Eric disse.

No entanto, essas ameaças são muito poucas e distantes, a menos que você navegue regularmente em sites obscuros; portanto, depende se o NoScript vale a pena. Pessoalmente, não acho que valha a pena, especialmente considerando que mais e mais sites exigem JavaScript para funcionar, o que significa que você estará constantemente na lista de permissões de scripts ou domínios inteiros (e, nesse ponto, você está derrotando alguns dos o benefício de usá-lo em primeiro lugar).

Sasha Chedygov
fonte
4

Consulte http://en.wikipedia.org/wiki/Cross-site_scripting e http://en.wikipedia.org/wiki/Cross-site_request_forgery para obter exemplos de como alguém com intenção maliciosa pode causar problemas usando o JavaScript.

FWIW - Eu pessoalmente não uso o NoScript, pois acho que é uma grande dor de cabeça. Às vezes, você só precisa observar onde está navegando e esperar o melhor.

Eric
fonte
2
Não sei, acho que essas duas preocupações são maiores para o desenvolvedor da Web do que para o usuário. Suponho que um site mal projetado seja suscetível a esses tipos de falhas que, por sua vez, poderiam comprometer os dados do usuário. Mas, realmente, que tipo de coisas eles irão roubar? Você nome de usuário em algum fórum ruim? Whoopy doo. O que importa é que você tenha informações e informações sobre cartão de crédito, mas nunca deve inserir esse tipo de informação em um site em que não confia.
mpen 23/03
2
@ Mark, você entende o que é CSRF? Digamos que você tenha seu navegador aberto no seu banco e outra guia aberta em um site ruim. Com um CSRF, o site malicioso pode induzir seu navegador a fazer uma solicitação ao seu banco para transferir todo o seu dinheiro da sua conta.
precisa
11
Você pode se proteger do CSRF desconectando-se de sites confidenciais antes de ir para outro lugar. Embora eu gostaria de pensar que os bancos seriam projetados sem esse buraco flagrante, sei que eles não existiam no passado.
Zurahn 23/03/10
1
  • JavaScript mal escrito ou mal-intencionado pode travar o navegador ou causar o congelamento

  • JavaScript pode ser usado para causar downloads drive-by

  • Mas, usado corretamente e como pretendido, o JavaScript aprimora a experiência de navegação na web

Existem prós e contras, mas no geral vale a pena. Para o registro, eu sempre uso a extensão NoScript, ativando seletivamente scripts para os sites que visito regularmente e espero que sejam seguros.

Grant Palin
fonte
0

Embora existam tecnicamente explorações no processamento de imagens e na renderização de XML e similares, atualmente existem três vetores de ataque: engenharia social (enganar o usuário, fazer com que ele execute um arquivo malicioso), plug-ins (Flash) e JavaScript.

O JavaScript permite diretamente a execução de instruções, e é particularmente ruim no caso do Internet Explorer devido à decisão e implementação incrivelmente ruins dos controles ActiveX no passado (embora a Microsoft tenha melhorado nesse sentido). Você também não precisa necessariamente acessar sites obscuros, pois os anúncios são veiculados em JavaScript e há vários casos em que anúncios maliciosos foram veiculados em sites legítimos.

Resposta curta: Se você vai se preocupar com ameaças, há três motivos para se preocupar: Internet Explorer, Flash e JavaScript.

Zurahn
fonte
"JavaScript permite diretamente que as instruções sejam executadas" - fonte? Isso é verdade na versão mais antiga do IE devido ao ActiveX, mas hoje em dia isso acontece apenas quando são encontradas explorações de segurança, e essas geralmente são corrigidas rapidamente. O próprio JavaScript, na verdade, não pode fazer muito ao seu sistema - no máximo, pode diminuir a velocidade ou talvez travar o navegador.
Sasha Chedygov
2
JavaScript é uma linguagem de programação, você escreve instruções. Não estou me referindo às instruções no nível do código da máquina, estou me referindo à própria linguagem - que o JavaScript em execução está executando o código; nem mais nem menos. Contrastável para HTML e CSS (além de eval no IE), que são puramente descritivos. Por isso, a probabilidade de vulnerabilidades por meio do JavaScript é astronomicamente maior - o JavaScript é benigno apenas se não houver erros na implementação ou nas especificações, o que nunca acontecerá.
Zurahn 9/11/10
0

Pouquíssimos computadores, se houver algum computador conectado à Internet, à prova de exploração. Não era necessário nem o MeltDown nem o Spectre para obter publicidade maliciosa em sua máquina; vinha de sites confiáveis, como sempre.

Eis por que a epidemia de anúncios maliciosos piorou muito no ano passado. Os redirecionamentos forçados do grupo de zircônio enviam malware falso e atualizações falsas do Flash. DAN GOODIN - 23/01/2018, 05:00

Nos anos 90, o Netscape Navigator havia assinado javaScript digitalmente, precisamos de uma versão melhorada agora.

rjt
fonte