JavaScript มีอันตรายแค่ไหน?

ฉันเพิ่งเริ่มใช้NoScript (นอกเหนือจาก ABP) ใช้เวลาสักครู่เพื่อทำความคุ้นเคยกับมันและบางครั้งอาจต้องมีการคลิกเมื่อเข้าสู่เว็บไซต์ใหม่เพื่อตรวจสอบสาเหตุที่เว็บไซต์ไม่ทำงานและฉันต้องอนุญาต JavaScript จากที่ใด การรักษาความปลอดภัยพิเศษนั้นคุ้มค่าหรือไม่

บางส่วนของการทะเลาะวิวาทจะกล่าวถึงที่นี่ ฉันคิดว่ามันทำให้เดือดลงได้ว่า JavaScript นั้นเป็นภัยคุกคามต่อคอมพิวเตอร์ของคุณหรือไม่ ความคิดใด ๆ เกี่ยวกับเรื่องนี้?

เหตุผลที่ NoScript ยังคงมีอยู่ในสถานที่แรกไม่จำเป็นต้องมี JavaScript ต่อ seแต่ต้องการช่องโหว่ด้านความปลอดภัยในเบราว์เซอร์ ในอดีต Firefox และเบราว์เซอร์อื่น ๆ มีช่องโหว่ด้านความปลอดภัยมากมายที่ทำให้ JavaScript ที่เป็นอันตรายสามารถทำสิ่งที่ไม่ดีต่อระบบของผู้ใช้ได้ (ในหลายกรณีรหัสพื้นเมืองสามารถเรียกใช้ผ่าน JavaScript ซึ่งหมายความว่าเว็บไซต์อาจทำอะไรกับคอมพิวเตอร์ของคุณ) นอกจากนี้ยังมีความเป็นไปได้ของการโจมตีสคริปต์ข้ามไซต์เช่น @Eric กล่าว

อย่างไรก็ตามภัยคุกคามเหล่านี้มีอยู่น้อยมากและอยู่ไกลออกไปเว้นแต่ว่าคุณจะเรียกดูเว็บไซต์ที่ร่มรื่นเป็นประจำดังนั้น NoScript จะคุ้มค่าหรือไม่ โดยส่วนตัวแล้วฉันไม่คิดว่ามันจะคุ้มค่าโดยเฉพาะอย่างยิ่งเมื่อพิจารณาว่าเว็บไซต์จำนวนมากต้องการ JavaScript เพื่อให้ทำงานได้ทั้งหมดซึ่งหมายความว่าคุณจะเป็นรายการที่อนุญาตพิเศษหรือโดเมนทั้งหมด (และในตอนนั้นคุณกำลังเอาชนะบางส่วนของ ประโยชน์ของการใช้มันตั้งแต่แรก)

ดูhttp://en.wikipedia.org/wiki/Cross-site_scriptingและhttp://en.wikipedia.org/wiki/Cross-site_request_forgeryสำหรับตัวอย่างของคนที่มีเจตนาร้ายสามารถทำให้เกิดปัญหาโดยใช้ JavaScript

FWIW - โดยส่วนตัวฉันไม่ได้ม้วนด้วย NoScript เพราะฉันคิดว่ามันเป็นอาการปวดหัวที่สำคัญ บางครั้งคุณต้องดูว่าคุณกำลังค้นหาและหวังอะไรที่ดีที่สุด

• จาวาสคริปต์ที่เขียนขึ้นมาหรือเป็นอันตรายอาจทำให้เบราว์เซอร์ของคุณเสียหายหรือทำให้หยุดการทำงาน

• อาจใช้ JavaScript เพื่อทำให้เกิดการดาวน์โหลด

• แต่ใช้อย่างถูกต้องและเป็นไปตามที่คาดไว้ JavaScript จะปรับปรุงประสบการณ์การท่องเว็บ

มีข้อดีข้อเสีย แต่โดยรวมแล้วมันมีค่ากับปัญหา สำหรับบันทึกนี้ฉันใช้ส่วนขยาย NoScript เสมอการเลือกเปิดใช้งานสคริปต์สำหรับเว็บไซต์ที่ฉันเข้าชมเป็นประจำและฉันคาดหวังว่าจะปลอดภัย

ในขณะที่มีการใช้ประโยชน์ทางเทคนิคในการประมวลผลภาพและการแสดงผล XML และสิ่งที่คล้ายกันสำหรับทุกเจตนาและวัตถุประสงค์มีสามเวกเตอร์ของการโจมตี: วิศวกรรมสังคม (หลอกผู้ใช้ให้ผู้ใช้เรียกใช้ไฟล์ที่เป็นอันตราย), ปลั๊กอิน (Flash) และจาวาสคริปต์

JavaScript อนุญาตให้เรียกใช้คำแนะนำโดยตรงและเป็นสิ่งที่ไม่ดีโดยเฉพาะอย่างยิ่งในกรณีของ Internet Explorer เนื่องจากการตัดสินใจที่ไม่ดีอย่างไม่น่าเชื่อและการใช้งานตัวควบคุม ActiveX ในอดีต (แม้ว่า Microsoft ได้ปรับปรุงในเรื่องนี้) คุณไม่จำเป็นต้องไปที่ไซต์ที่มีร่มเงาเนื่องจากโฆษณาจะแสดงใน JavaScript และมีหลายกรณีที่มีการแสดงโฆษณาที่เป็นอันตรายในเว็บไซต์ที่ถูกกฎหมาย

คำตอบสั้น ๆ : หากคุณกังวลเกี่ยวกับภัยคุกคามมีสามสิ่งที่ต้องคำนึงถึง: Internet Explorer, Flash และ JavaScript

คอมพิวเตอร์น้อยมากหากคอมพิวเตอร์ใด ๆ ที่เชื่อมต่อกับอินเทอร์เน็ตใช้ประโยชน์จากข้อพิสูจน์ เราไม่จำเป็นต้องใช้ MeltDown หรือ Specter เพื่อโฆษณาที่เป็นอันตรายบนเครื่องของคุณมันมาจากเว็บไซต์ที่น่าเชื่อถือเหมือนที่เคยมีมา

นี่คือสาเหตุที่การแพร่ระบาดของโฆษณาที่เป็นอันตรายเพิ่มมากขึ้นเมื่อปีที่แล้วการบังคับให้เปลี่ยนเส้นทางจากกลุ่มเซอร์โคเนียมผลักมัลแวร์ปลอมและการอัพเดทแฟลชปลอม DAN GOODIN - 1/23/2018, 5:00 น

ในปี 1990 Netscape Navigator ได้เซ็นชือด้วยจาวาสคริปต์แบบดิจิทัลเราต้องการเวอร์ชันที่ปรับปรุงแล้วในตอนนี้

JavaScript ไม่จำเป็นต้องทิ้งคอมพิวเตอร์ของคุณเพื่อเป็นอันตรายต่อคุณ นี่คือตัวอย่างง่ายๆของ sniffers JavaScript ที่สามารถใช้เพื่อขโมยข้อมูลธนาคารของคุณและส่งไปยังผู้โจมตีระยะไกล:

https://www.smartspate.com/four-javascript-sniffer-that-will-show-how-careful-you-should-be-with-online-purchasing/