JavaScript는 얼마나 위험 할 수 있습니까?

9

최근 에 ABP 외에도 NoScript를 사용하기 시작했습니다 . 익숙해지기까지 시간이 조금 걸렸으며 새 사이트를 방문 할 때 사이트가 작동하지 않는 이유와 JavaScript를 허용해야하는 위치를 조사하기 위해 클릭이 필요할 수 있습니다. 추가 보안이 가치가 있습니까?

논쟁의 일부는 여기에서 논의됩니다 . JavaScript가 컴퓨터에 대한 진정한 위협인지 아닌지의 문제로 귀결됩니다. 이것에 대한 생각?

security javascript

— Gordon Gustafson
소스

2

NoScript없이 탐색하는 것이 괜찮은 생각이라면 tinyurl.com/y8qdwsv를 사용해보십시오 .

— Josh K

1

정말로 열심히 웃고 싶다면 tinyurl.com/ydwxk63을 사용해보십시오 .

— Hasaan Chop

@JoshK owwww, CPU와 mem이 올라갑니다!

— Maxim Zaslavsky

1

그리고 아마도 몇 가지 충돌이 발생했을 것입니다. 의 그것의 2.4MB iframe의

— 조쉬 K

@ Josh K : FireFox가 허용 한 것에 실망했습니다. 오페라는 다른 행동을 보여 주지만 (거의 성가신 것은 아니지만) 여전히 쇠약합니다. 크롬은 전혀 소란스럽지 않습니다. 팝업 빈도를 제한하는 것 같습니다. (예, 3 번 시도 할만큼 멍청했습니다)

— mpen

3

NoScript가 처음에도 존재하는 이유는 JavaScript 자체 일 필요는 없지만 브라우저의 보안 허점입니다. 과거 Firefox 및 기타 브라우저에는 많은 JavaScript 취약점이있어 악의적 인 JavaScript가 사용자 시스템에 악의적 인 작업을 수행 할 수있었습니다. (대부분의 경우 네이티브 코드는 JavaScript를 통해 실행될 수 있는데, 이는 웹 사이트가 컴퓨터에 잠재적으로 어떤 작업을 수행 할 수 있음을 의미합니다.) @Eric과 같은 사이트 간 스크립팅 공격 의 가능성도 있습니다 .

그러나 정기적으로 그늘진 웹 사이트를 탐색하지 않는 한 이러한 위협은 매우 적기 때문에 NoScript의 번거 로움에 달려 있습니다. 개인적으로, 나는 그것이 가치가 있다고 생각하지 않습니다. 특히 점점 더 많은 웹 사이트가 JavaScript를 전혀 필요로하지 않기 때문에 스크립트 또는 전체 도메인을 지속적으로 화이트리스트에 올릴 것입니다 (그리고 그 시점에서 처음에 그것을 사용하는 이점).

— 개정 사샤 체디 고프
소스

4

악의적 인 의도를 가진 사람이 JavaScript를 사용하여 문제를 일으킬 수있는 방법에 대한 예는 http://en.wikipedia.org/wiki/Cross-site_scripting 및 http://en.wikipedia.org/wiki/Cross-site_request_forgery 를 참조하십시오 .

FWIW-저는 개인적으로 NoScript를 사용하지 않습니다. 이것이 큰 두통이라고 생각합니다. 때때로 당신은 당신이 탐색하는 곳을보고 최고를 기대해야합니다.

— Eric
소스

2

나는 두 가지 모두 사용자보다 웹 개발자에게 더 큰 관심사라고 생각합니다. 제대로 설계되지 않은 사이트는 이러한 종류의 결함에 취약하여 사용자의 데이터를 손상시킬 수 있다고 생각합니다. 그러나 실제로 어떤 종류의 물건을 훔칠 것입니까? 당신은 일부 엉뚱한 포럼에서 사용자 이름? 우피 두. 중요한 것은 신용 카드 정보와 물건을 받았을 때 뿐이지 만 처음에는 신뢰할 수없는 사이트에 그런 종류의 정보를 입력 해서는 안됩니다 .

— mpen

2

@Mark, CSRF가 무엇인지 이해하십니까? 브라우저가 은행에 열려 있고 다른 탭이 악의적 인 사이트에 열려 있다고 가정하십시오. CSRF를 사용하면 악의적 인 사이트가 귀하의 계좌에서 모든 돈을 이체하도록 은행에 요청하도록 브라우저를 속일 수 있습니다.

— Zoredache

1

다른 곳으로 가기 전에 민감한 사이트에서 로그 아웃하여 CSRF로부터 자신을 보호 할 수 있습니다. 비록이 눈부신 구멍없이 은행이 설계 될 것이라고 생각하고 싶지만, 과거에는 없었던 것을 알고 있습니다.

— Zurahn

1

잘못 작성되었거나 악의적 인 JavaScript가 브라우저를 손상 시키거나 정지시킬 수 있습니다.
자바 스크립트를 사용하여 드라이브 바이 다운로드를 유발할 수 있음
그러나 올바르게 사용하고 의도 한대로 JavaScript는 웹 브라우징 경험을 향상시킵니다.

찬반 양론이 있지만 전체적으로 문제의 가치가 있습니다. 기록을 위해 항상 NoScript 확장 프로그램을 사용하여 정기적으로 방문하는 사이트에 대해 스크립트를 선택적으로 활성화하며 안전하다고 생각합니다.

— 그랜트 팔린
소스

0

기술적으로 이미지 처리 및 XML 렌더링 등에 악용이 있었지만 현재 모든 의도와 목적에 따라 사회 공학 (사용자를 유혹하고 악의적 인 파일을 실행하도록 함), 플러그인 (플래시)의 세 가지 공격 벡터가 있습니다. 및 자바 스크립트

JavaScript는 직접 명령 실행을 허용하며 Internet Explorer의 경우 과거에 ActiveX 컨트롤의 결정 및 구현이 엄청나게 좋지 않기 때문에 특히 나쁩니다 (Microsoft는 이와 관련하여 개선 되었음). 또한 광고가 자바 스크립트로 게재되고 합법적 인 사이트에 악성 광고가 게재 된 경우가 많으므로 반드시 그늘이있는 사이트로 이동할 필요는 없습니다.

짧은 대답 : 위협에 대해 걱정할 경우 Internet Explorer, Flash 및 JavaScript의 세 가지 사항을 고려해야합니다.

— 주란
소스

"자바 스크립트에서 직접 명령어를 실행할 수 있습니다"-소스? 이것은 ActiveX로 인한 이전 버전의 IE에서는 사실이지만, 현재는 보안 취약점이 발견 될 때만 발생하며 대개 매우 빠르게 패치됩니다. 자바 스크립트 자체는 실제로 시스템에 큰 영향을 미치지 않습니다.

— Sasha Chedygov

2

JavaScript는 프로그래밍 언어이므로 명령어를 작성하십시오. 나는 머신 코드 레벨 명령어를 언급하지 않고, 언어 자체를 언급하고있다. 그 이상도 이하도 아닌. 순수하게 설명하는 HTML 및 CSS (IE의 평가판 제외)와 대조적입니다. 따라서 JavaScript를 통한 취약점의 가능성은 천문학적으로 높습니다. 구현 또는 사양에 실수가없는 경우에만 JavaScript가 양성으로 나타납니다.

— Zurahn

0

인터넷에 연결된 컴퓨터가 악용되지 않는 컴퓨터는 거의 없습니다. 하나는 컴퓨터에 악성 광고를 얻기 위해 MeltDown이나 Specter가 필요하지 않았으며 항상 신뢰할 수있는 웹 사이트에서 비롯되었습니다.

작년에 악성 광고의 전염병이 지난해 훨씬 더 악화 된 이유는 다음과 같습니다. 지르코늄 그룹의 강제 리디렉션은 가짜 악성 코드 및 가짜 플래시 업데이트를 푸시합니다. DAN GOODIN-2018 년 1 월 3 일, 오전 5:00

1990 년대 넷스케이프 네비게이터는 디지털 서명 된 자바 스크립트를 사용 했으므로 이제 개선 된 버전이 필요합니다.

— rjt
소스

0

자바 스크립트는 반드시 컴퓨터를 휴지통에 버릴 필요가 없습니다. 다음은 은행 정보를 훔쳐 원격 공격자에게 보내는 JavaScript 스니퍼의 간단한 예입니다.

https://www.smartspate.com/four-javascript-sniffer-that-will-show-how-careful-you-should-be-with-online-purchasing/

— 페 보감
소스