¿Qué tan peligroso puede ser JavaScript?

9

Recientemente comencé a usar NoScript (además de ABP). Tardó un poco en acostumbrarse y ocasionalmente puede requerir un poco de clic al visitar un nuevo sitio para investigar por qué el sitio no funciona y dónde necesito permitir JavaScript. ¿Vale la pena la seguridad adicional?

Parte de la controversia se discute aquí . Supongo que se reduce a una cuestión de si JavaScript es una amenaza genuina para su computadora o no. Tiene alguna idea sobre esto?

security javascript Gordon Gustafson
fuente
2
Pruebe tinyurl.com/y8qdwsv si cree que navegar sin NoScript es una buena idea.
Josh K
1
Prueba tinyurl.com/ydwxk63 si quieres reírte mucho.
Hasaan Chop
@JoshK owwww, CPU y mem suben mucho!
Maxim Zaslavsky
1
Y muchas cosas probablemente se estrellen. Son 2.4MB de iframe's
Josh K
@ Josh K: Estoy bastante decepcionado de que FireFox lo haya permitido. Opera exhibe un comportamiento diferente (no tan molesto), pero eso todavía se aleja. Chrome no arroja demasiado alboroto en absoluto; parece limitar la frecuencia con la que puede aparecer. (Sí, fui lo suficientemente estúpido como para intentarlo 3 veces)
mpen

Respuestas:

3

La razón por la que NoScript incluso existe en primer lugar no es necesariamente JavaScript per se , sino agujeros de seguridad en el navegador. En el pasado, Firefox y otros navegadores han tenido muchas vulnerabilidades de seguridad que han permitido que JavaScript malicioso haga cosas malas al sistema de un usuario. (En muchos casos, el código nativo podría ejecutarse a través de JavaScript, lo que significa que un sitio web podría potencialmente hacer algo a su computadora). También existe la posibilidad de ataques de secuencias de comandos entre sitios , como dijo @Eric.

Sin embargo, estas amenazas son muy pocas y distantes entre sí, a menos que navegue regularmente por sitios web oscuros, por lo que si NoScript vale la pena o no, depende de usted. Personalmente, no creo que valga la pena, especialmente teniendo en cuenta que cada vez más sitios web requieren JavaScript para funcionar, lo que significa que constantemente estará en la lista blanca de scripts o dominios completos (y en ese momento, está derrotando algunos de el beneficio de usarlo en primer lugar).

revs Sasha Chedygov
fuente
4

Consulte http://en.wikipedia.org/wiki/Cross-site_scripting y http://en.wikipedia.org/wiki/Cross-site_request_forgery para ver ejemplos de cómo alguien con intenciones maliciosas puede causar problemas al usar JavaScript.

FWIW - Yo personalmente no uso NoScript, ya que creo que es un gran dolor de cabeza. A veces solo tienes que mirar dónde estás navegando y esperar lo mejor.

Eric
fuente
2
No sé, creo que ambas son preocupaciones mayores para el desarrollador web que para el usuario. Supongo que un sitio mal diseñado es susceptible a ese tipo de fallas que a su vez podrían comprometer los datos del usuario ... pero realmente, ¿qué tipo de cosas van a robar? ¿Tu nombre de usuario en algún foro horrible? Whoopy doo. El único lugar importante es cuando tienes información de tarjeta de crédito y otras cosas, pero nunca debes ingresar ese tipo de información en un sitio en el que no confías en primer lugar.
mpen
2
@ Mark, ¿entiendes lo que es CSRF? Digamos que tiene su navegador abierto a su banco y otra pestaña abierta a un sitio maligno. Con un CSRF, el sitio maligno puede engañar a su navegador para que solicite a su banco que transfiera todo su dinero de su cuenta.
Zoredache
1
Puede protegerse de CSRF cerrando sesión en sitios sensibles antes de ir a otro lado. Aunque me gustaría pensar que los bancos estarían diseñados sin este agujero deslumbrante, sé que no han estado en el pasado.
Zurahn
1
  • JavaScript mal escrito o malicioso puede bloquear su navegador o hacer que se congele

  • JavaScript puede usarse para provocar descargas no autorizadas

  • Pero, si se usa correctamente y según lo previsto, JavaScript mejora la experiencia de navegación web

Hay pros y contras, pero en general vale la pena. Para el registro, siempre uso la extensión NoScript, habilitando selectivamente los scripts para los sitios que visito regularmente y que espero que sean seguros.

Grant Palin
fuente
0

Si bien técnicamente ha habido vulnerabilidades en el procesamiento de imágenes y la representación de XML y similares, para todos los efectos hay actualmente tres vectores de ataque: ingeniería social (engañando al usuario, haciendo que el usuario ejecute un archivo malicioso), complementos (Flash) y JavaScript.

JavaScript permite directamente que se ejecuten instrucciones, y es particularmente malo en el caso de Internet Explorer debido a la decisión e implementación increíblemente pobres de los controles ActiveX en el pasado (aunque Microsoft ha mejorado en este sentido). Tampoco tiene que ir necesariamente a sitios con sombra, ya que los anuncios se sirven en JavaScript y hay varios casos de anuncios maliciosos en sitios legítimos.

Respuesta corta: si va a preocuparse por las amenazas, debe preocuparse por tres cosas: Internet Explorer, Flash y JavaScript.

Zurahn
fuente
"JavaScript permite directamente ejecutar instrucciones" - ¿fuente? Esto es cierto en la versión anterior de IE debido a ActiveX, pero hoy en día eso solo ocurre cuando se encuentran vulnerabilidades de seguridad, y generalmente se reparan con bastante rapidez. El JavaScript en sí mismo no puede hacer mucho a su sistema; a lo sumo, podría ralentizarse o tal vez bloquear su navegador.
Sasha Chedygov, el
2
JavaScript es un lenguaje de programación, usted escribe instrucciones. No me refiero a las instrucciones de nivel de código de máquina, me refiero al lenguaje en sí mismo: que ejecutar JavaScript es ejecutar código; ni mas ni menos. Contrastable con HTML y CSS (aparte de eval en IE) que son puramente descriptivos. Debido a eso, la probabilidad de vulnerabilidades a través de JavaScript es astronómicamente mayor: JavaScript solo es benigno si no hay errores en la implementación o en las especificaciones, lo que nunca sucederá.
Zurahn
0

Muy pocas computadoras si alguna de las computadoras conectadas a Internet son a prueba de vulnerabilidades. Uno ni siquiera necesitaba MeltDown ni Specter para obtener publicidad maliciosa en su máquina, provenía de sitios web confiables como siempre lo ha hecho.

He aquí por qué la epidemia de anuncios maliciosos empeoró mucho el año pasado. Los redireccionamientos forzados del grupo Zirconium empujan malware falso y actualizaciones falsas de Flash. DAN GOODIN - 23/01/2018, 5:00 a.m.

En la década de 1990, Netscape Navigator había firmado digitalmente javaScript, ahora necesitamos una versión mejorada de eso.

revs rjt
fuente