JavaScript có thể nguy hiểm đến mức nào?

Gần đây tôi đã bắt đầu sử dụng NoScript (ngoài ABP). Phải mất một chút thời gian để làm quen với nó và đôi khi có thể yêu cầu một số nhấp chuột khi truy cập một trang web mới để điều tra lý do tại sao trang web không hoạt động và nơi tôi cần cho phép JavaScript từ đó. Là bảo mật bổ sung có giá trị nó?

Một số tranh cãi được thảo luận ở đây . Tôi cho rằng vấn đề là liệu JavaScript có phải là mối đe dọa thực sự đối với máy tính của bạn hay không. Bất kỳ suy nghĩ về điều này?

Lý do NoScript thậm chí tồn tại ở vị trí đầu tiên không nhất thiết phải là JavaScript mỗi lần , mà là các lỗ hổng bảo mật trong trình duyệt. Trước đây, Firefox và các trình duyệt khác đã có nhiều lỗ hổng bảo mật cho phép JavaScript độc hại thực hiện những điều xấu đối với hệ thống của người dùng. (Trong nhiều trường hợp, mã gốc có thể được thực thi thông qua JavaScript, có nghĩa là một trang web có khả năng có thể làm bất cứ điều gì với máy tính của bạn.) Cũng có khả năng các cuộc tấn công kịch bản chéo trang , như @Eric nói.

Tuy nhiên, các mối đe dọa này rất ít và xa giữa trừ khi bạn thường xuyên duyệt các trang web mờ ám, do đó, liệu NoScript có đáng để bạn gặp rắc rối hay không. Cá nhân, tôi không thấy nó đáng giá, đặc biệt khi xem xét rằng ngày càng có nhiều trang web yêu cầu JavaScript hoạt động, điều đó có nghĩa là bạn sẽ liên tục được liệt kê các tập lệnh hoặc toàn bộ tên miền (và tại thời điểm đó, bạn đang đánh bại một số lợi ích của việc sử dụng nó ở nơi đầu tiên).

Xem http://en.wikipedia.org/wiki/Cross-site_scripting và http://en.wikipedia.org/wiki/Cross-site_Vquest_forgery để biết ví dụ về cách ai đó có ý định độc hại có thể gây ra sự cố khi sử dụng JavaScript.

FWIW - Cá nhân tôi không lăn lộn với NoScript vì tôi nghĩ đó là một vấn đề đau đầu. Đôi khi bạn chỉ cần xem nơi bạn đang duyệt và hy vọng điều tốt nhất.

• JavaScript được viết kém hoặc độc hại có thể làm sập trình duyệt của bạn hoặc khiến nó bị đóng băng

• JavaScript có thể được sử dụng để gây ra tải xuống theo ổ đĩa

• Nhưng, được sử dụng đúng cách và như dự định, JavaScript giúp nâng cao trải nghiệm duyệt web

Có những ưu và nhược điểm, nhưng về tổng thể nó là giá trị rắc rối. Đối với bản ghi, tôi luôn sử dụng tiện ích mở rộng NoScript, cho phép chọn lọc các tập lệnh cho các trang web tôi thường xuyên truy cập và tôi cho là an toàn.

Mặc dù về mặt kỹ thuật đã được khai thác trong xử lý hình ảnh và kết xuất XML và tương tự, đối với tất cả các ý định và mục đích hiện có ba vectơ tấn công: kỹ thuật xã hội (lừa người dùng, khiến người dùng chạy tệp độc hại), plugin (Flash) và JavaScript.

JavaScript trực tiếp cho phép chạy các hướng dẫn và điều này đặc biệt tệ trong trường hợp Internet Explorer do quyết định cực kỳ kém và việc triển khai các điều khiển ActiveX trong quá khứ (mặc dù Microsoft đã cải thiện về vấn đề này). Bạn cũng không nhất thiết phải truy cập các trang web mờ ám, vì quảng cáo được phân phát bằng JavaScript và có nhiều trường hợp quảng cáo độc hại đã được phục vụ cho các trang web hợp pháp.

Câu trả lời ngắn: Nếu bạn lo lắng về các mối đe dọa, có ba điều cần quan tâm: Internet Explorer, Flash và JavaScript.

Rất ít máy tính nếu có bất kỳ máy tính nào kết nối với internet là bằng chứng khai thác. Một người thậm chí không cần MeltDown hay Spectre để nhận quảng cáo độc hại trên máy của bạn, nó đến từ các trang web đáng tin cậy như nó luôn có.

Đây là lý do tại sao dịch bệnh quảng cáo độc hại đã trở nên tồi tệ hơn nhiều vào năm ngoái Buộc chuyển hướng từ nhóm zirconium đẩy phần mềm độc hại giả mạo và cập nhật Flash giả. DAN GOODIN - 1/23/2018, 5:00 SA

Vào những năm 1990, Netscape Navigator đã ký javaScript kỹ thuật số, bây giờ chúng ta cần một phiên bản cải tiến.

JavaScript không nhất thiết phải rác máy tính của bạn để làm hại bạn. Dưới đây là một số ví dụ đơn giản về trình thám thính JavaScript có thể được sử dụng để đánh cắp thông tin ngân hàng của bạn và gửi cho kẻ tấn công từ xa:

https://www.smartspate.com/four-javascript-sniffer-that-will-show-how-careful-you-should-be-with-online-purchasing/