JavaScriptはどれほど危険なのでしょうか?

9

私は最近(ABPに加えて)NoScriptを使い始めました。慣れるまでに少し時間がかかり、新しいサイトにアクセスしてサイトが機能しない理由と、JavaScriptを許可する必要がある場所を調査する際に、クリックが必要になる場合があります。追加のセキュリティは価値がありますか?

論争のいくつかはここで議論されます。要するに、JavaScriptがあなたのコンピュータに対する真の脅威であるかどうかということです。これについて何か考えはありますか?

security  javascript 
Gordon Gustafson
ソース
2
NoScriptなしでブラウジングするのが適切だと感じた場合は、tinyurl.com / y8qdwsvを試してください。
Josh K
1
あなたが本当に一生懸命に笑いたいなら、tinyurl.com / ydwxk63を試してください。
Hasaan Chop、2010
@JoshK owwww、CPUとmemはかなり上がります!
Maxim Zaslavsky、2010年
1
そして、かなりの数のものがおそらくクラッシュします。それの2.4メガバイトiframe
ジョシュK
@ジョシュK:FireFoxがそれを許可したことはかなりがっかりです。Operaはさまざまな動作を示しますが(ほとんど煩わしいものではありません)、それでも落ち着きます。Chromeはそれほど大騒ぎしません。ポップアップする頻度を制限しているようです。(はい、私はそれを3回試すのに十分なほど愚かでした)
mpen

回答:

3

NoScriptがそもそも存在する理由は、必ずしもJavaScript 自体ではなく、ブラウザのセキュリティホールです。これまで、Firefoxやその他のブラウザーには、悪意のあるJavaScriptがユーザーのシステムに悪影響を及ぼすことを可能にする多くのセキュリティ脆弱性がありました。(多くの場合、ネイティブコードはJavaScriptを介して実行される可能性があります。つまり、Webサイトがコンピューターに何かを実行する可能性があります。)@Ericが言ったように、クロスサイトスクリプティング攻撃の可能性もあります。

ただし、これらの脅威はごくわずかであり、怪しげなWebサイトを定期的に閲覧しない限り、NoScriptの価値があるかどうかはあなた次第です。個人的には、私はそれが価値があるとは思いません、特に、ますます多くのWebサイトが機能するためにJavaScriptを必要とすることを考えると、常にスクリプトまたはドメイン全体をホワイトリストに登録することになります(その時点で、そもそもそれを使用する利点)。

Sasha Chedygov
ソース
4

悪意のあるユーザーがJavaScriptを使用して問題を引き起こす例については、http ://en.wikipedia.org/wiki/Cross-site_scriptingおよびhttp://en.wikipedia.org/wiki/Cross-site_request_forgeryを参照してください

FWIW-私は個人的にNoScriptを使用しません。これは大きな頭痛の種だと思います。時々、あなたはただブラウジングしているところを見て、最高のものを望みます。

Eric
ソース
2
私は知りません。どちらも、ユーザーよりもWeb開発者にとって大きな懸念事項だと思います。設計が不十分なサイトは、ユーザーのデータを危険にさらすような種類の欠陥の影響を受けやすいと思いますが、実際には、どのような種類のものが盗まれるのでしょうか。いくつかの不器用なフォーラムのユーザー名?おっとっと。のみ、あなたがクレジットカード情報やものを持っている、しかし、あなたがすべきときである重要置く決してあなたが最初の場所で信用していないサイト上の情報の並べ替えを入力しないこと。
mpen
2
@ Mark、CSRFとは何か理解していますか?あなたのブラウザがあなたの銀行に開かれ、別のタブが邪悪なサイトに開かれているとしましょう。CSRFを使用すると、悪意のあるサイトはブラウザーをだまして銀行にリクエストを送り、すべてのお金をアカウントから送金することができます。
Zoredache 2010年
1
他の場所に行く前に機密サイトからログアウトすることで、CSRFから身を守ることができます。私は銀行がこの明白な穴なしで設計されると思いたいのですが、私はそれらが過去になかったことを知っています。
Zurahn、2010年
1
  • 不適切に記述されたJavaScriptまたは悪意のあるJavaScriptは、ブラウザーをクラッシュさせるか、フリーズさせる可能性があります

  • JavaScriptを使用してドライブバイダウンロードを引き起こす可能性があります

  • ただし、JavaScriptは適切に、意図したとおりに使用すると、Webブラウジングエクスペリエンスが向上します

長所と短所はありますが、全体としては、トラブルに値するものです。念のため、私は常にNoScript拡張機能を使用して、私が定期的にアクセスするサイトに対してスクリプトを選択的に有効にしており、安全であると期待しています。

グラントパリン
ソース
0

画像処理やXMLレンダリングなどで技術的に悪用されてきましたが、現在のところ、すべての意図と目的で、ソーシャルエンジニアリング(ユーザーをだまし、ユーザーに悪意のあるファイルを実行させる)、プラグイン(Flash)の3つの攻撃ベクトルがあります。 、JavaScript。

JavaScriptは直接命令を実行することを許可します。これはInternet Explorerの場合、過去に非常に悪い決定とActiveXコントロールの実装が原因で特に悪いものです(ただし、Microsoftはこの点で改善しています)。また、広告はJavaScriptで配信され、悪意のある広告が正当なサイトに配信されているケースが複数あるため、必ずしも疑わしいサイトに移動する必要はありません。

短い答え:脅威を心配する場合、心配する必要があるのはInternet Explorer、Flash、JavaScriptの3つです。

ザラーン
ソース
「JavaScriptは命令の実行を直接許可します」-ソース?これは、ActiveXが原因で古いバージョンのIEに当てはまりますが、今日では、セキュリティの悪用が発見された場合にのみ発生します。JavaScript自体は実際にはシステムに対してあまり効果がありません。せいぜい、ブラウザの速度が低下したり、クラッシュする可能性があります。
サーシャチェディゴフ2010年
2
JavaScriptはプログラミング言語であり、指示を記述します。私はマシンコードレベルの命令についてではなく、言語自体について言及しています。JavaScriptの実行はコードの実行です。これ以上ないです。純粋に説明的なHTMLおよびCSS(IEのevalを除く)と対照的です。そのため、JavaScriptを介した脆弱性の可能性は天文学的に高くなります。JavaScriptは、実装または仕様に間違いがなく、決して起こらない場合にのみ害を及ぼしません。
Zurahn、2010年
0

インターネットに接続されているコンピューターがエクスプロイトプルーフである場合、ごく少数のコンピューター。マシンに悪意のある広告を表示するためにMeltDownやSpectreを必要としない人もいました。これは、いつものように信頼できるWebサイトからのものです。

昨年、悪意のある広告の流行がさらに悪化した理由は、ジルコニウムグループからの強制リダイレクトが偽のマルウェアや偽のFlash更新をプッシュしたことです。DAN GOODIN-2018年1月23日、午前5時

1990年代には、Netscape Navigatorはデジタル署名されたjavaScriptを持っていましたが、今はその改良版が必要です。

rjt
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.