JavaScript는 얼마나 위험 할 수 있습니까? 이유와 JavaScript를 허용해야하는

최근 에 ABP 외에도 NoScript를 사용하기 시작했습니다 . 익숙해지기까지 시간이 조금 걸렸으며 새 사이트를 방문 할 때 사이트가 작동하지 않는 이유와 JavaScript를 허용해야하는 위치를 조사하기 위해 클릭이 필요할 수 있습니다. 추가 보안이 가치가 있습니까?

논쟁의 일부는 여기에서 논의됩니다 . JavaScript가 컴퓨터에 대한 진정한 위협인지 아닌지의 문제로 귀결됩니다. 이것에 대한 생각?



답변

NoScript가 처음에도 존재하는 이유는 JavaScript 자체 일 필요는 없지만 브라우저의 보안 허점입니다. 과거 Firefox 및 기타 브라우저에는 많은 JavaScript 취약점이있어 악의적 인 JavaScript가 사용자 시스템에 악의적 인 작업을 수행 할 수있었습니다. (대부분의 경우 네이티브 코드는 JavaScript를 통해 실행될 수 있는데, 이는 웹 사이트가 컴퓨터에 잠재적으로 어떤 작업을 수행 할 수 있음을 의미합니다.) @Eric과 같은 사이트 간 스크립팅 공격 의 가능성도 있습니다 .

그러나 정기적으로 그늘진 웹 사이트를 탐색하지 않는 한 이러한 위협은 매우 적기 때문에 NoScript의 번거 로움에 달려 있습니다. 개인적으로, 나는 그것이 가치가 있다고 생각하지 않습니다. 특히 점점 더 많은 웹 사이트가 JavaScript를 전혀 필요로하지 않기 때문에 스크립트 또는 전체 도메인을 지속적으로 화이트리스트에 올릴 것입니다 (그리고 그 시점에서 처음에 그것을 사용하는 이점).


답변

악의적 인 의도를 가진 사람이 JavaScript를 사용하여 문제를 일으킬 수있는 방법에 대한 예는 http://en.wikipedia.org/wiki/Cross-site_scriptinghttp://en.wikipedia.org/wiki/Cross-site_request_forgery 를 참조하십시오 .

FWIW-저는 개인적으로 NoScript를 사용하지 않습니다. 이것이 큰 두통이라고 생각합니다. 때때로 당신은 당신이 탐색하는 곳을보고 최고를 기대해야합니다.


답변

  • 잘못 작성되었거나 악의적 인 JavaScript가 브라우저를 손상 시키거나 정지시킬 수 있습니다.
  • 자바 스크립트를 사용하여 드라이브 바이 다운로드를 유발할 수 있음

  • 그러나 올바르게 사용하고 의도 한대로 JavaScript는 웹 브라우징 경험을 향상시킵니다.

찬반 양론이 있지만 전체적으로 문제의 가치가 있습니다. 기록을 위해 항상 NoScript 확장 프로그램을 사용하여 정기적으로 방문하는 사이트에 대해 스크립트를 선택적으로 활성화하며 안전하다고 생각합니다.


답변

기술적으로 이미지 처리 및 XML 렌더링 등에 악용이 있었지만 현재 모든 의도와 목적에 따라 사회 공학 (사용자를 유혹하고 악의적 인 파일을 실행하도록 함), 플러그인 (플래시)의 세 가지 공격 벡터가 있습니다. 및 자바 스크립트

JavaScript는 직접 명령 실행을 허용하며 Internet Explorer의 경우 과거에 ActiveX 컨트롤의 결정 및 구현이 엄청나게 좋지 않기 때문에 특히 나쁩니다 (Microsoft는 이와 관련하여 개선 되었음). 또한 광고가 자바 스크립트로 게재되고 합법적 인 사이트에 악성 광고가 게재 된 경우가 많으므로 반드시 그늘이있는 사이트로 이동할 필요는 없습니다.

짧은 대답 : 위협에 대해 걱정할 경우 Internet Explorer, Flash 및 JavaScript의 세 가지 사항을 고려해야합니다.


답변

인터넷에 연결된 컴퓨터가 악용되지 않는 컴퓨터는 거의 없습니다. 하나는 컴퓨터에 악성 광고를 얻기 위해 MeltDown이나 Specter가 필요하지 않았으며 항상 신뢰할 수있는 웹 사이트에서 비롯되었습니다.

작년에 악성 광고의 전염병이 지난해 훨씬 더 악화 된 이유는 다음과 같습니다. 지르코늄 그룹의 강제 리디렉션은 가짜 악성 코드 및 가짜 플래시 업데이트를 푸시합니다. DAN GOODIN-2018 년 1 월 3 일, 오전 5:00

1990 년대 넷스케이프 네비게이터는 디지털 서명 된 자바 스크립트를 사용 했으므로 이제 개선 된 버전이 필요합니다.


답변

자바 스크립트는 반드시 컴퓨터를 휴지통에 버릴 필요가 없습니다. 다음은 은행 정보를 훔쳐 원격 공격자에게 보내는 JavaScript 스니퍼의 간단한 예입니다.

https://www.smartspate.com/four-javascript-sniffer-that-will-show-how-careful-you-should-be-with-online-purchasing/