जावास्क्रिप्ट कितना खतरनाक हो सकता है?


9

मैंने हाल ही में NoScript (ABP के अलावा) का उपयोग करना शुरू किया है । इसकी आदत पड़ने में थोड़ा समय लगा और कभी-कभी किसी नई साइट पर जाकर यह जांचने के लिए कुछ क्लिक की आवश्यकता पड़ सकती है कि साइट काम क्यों नहीं कर रही है और मुझे जावास्क्रिप्ट को कहां से अनुमति देने की आवश्यकता है। क्या अतिरिक्त सुरक्षा इसके लायक है?

कुछ विवादों की चर्चा यहां की गई है । मुझे लगता है कि यह इस बात पर उबलता है कि जावास्क्रिप्ट आपके कंप्यूटर के लिए एक वास्तविक खतरा है या नहीं। इस पर कोई विचार?


2
यदि आपको लगता है कि NoScript के बिना ब्राउज़िंग करना एक अच्छा विचार है, तो smallurl.com/y8qdwsv आज़माएं ।
जोश के

1
यदि आप वास्तव में कठिन हँसना चाहते हैं, तो smallurl.com/ydwxk63 को आज़माएँ ।
हसन चोप

@ जोश उल्लू, सीपीयू और मेम रास्ता जाता है!
मैक्सिम ज़स्लावस्की

1
और काफी कुछ शायद दुर्घटना। यह की 2.4MB iframeके
जोश कश्मीर

@ जोश के: मैं बहुत निराश हूं कि फायरफॉक्स ने अनुमति दी। ओपेरा अलग-अलग व्यवहार प्रदर्शित करता है (लगभग उतने परेशान नहीं) लेकिन फिर भी वह दूर चला जाता है। Chrome बहुत अधिक उपद्रव नहीं करता है; ऐसा लगता है कि यह कितनी बार पॉपअप हो सकता है। (हां, मैं इसे 3 बार आजमाने के लिए काफी मूर्ख था)
एमपीएन

जवाबों:


3

NoScript भी पहले स्थान पर मौजूद है, जरूरी नहीं कि प्रति जावास्क्रिप्ट जावास्क्रिप्ट हो , लेकिन ब्राउज़र में सुरक्षा छेद। पिछले फ़ायरफ़ॉक्स और अन्य ब्राउज़रों में कई सुरक्षा कमजोरियां थीं, जिन्होंने दुर्भावनापूर्ण जावास्क्रिप्ट को किसी उपयोगकर्ता के सिस्टम में खराब चीजें करने की अनुमति दी है। (कई मामलों में मूल कोड को जावास्क्रिप्ट के माध्यम से निष्पादित किया जा सकता है, जिसका अर्थ है कि कोई वेबसाइट आपके कंप्यूटर पर संभवतः कुछ भी कर सकती है।) @Eric ने कहा कि क्रॉस-साइट स्क्रिप्टिंग हमलों की भी संभावना है ।

हालाँकि, जब तक आप नियमित रूप से छायादार वेबसाइटों को ब्राउज़ नहीं करते हैं, तब तक ये खतरे बहुत कम और बहुत दूर हैं, इसलिए NoScript लायक है या नहीं, यह परेशानी आपके ऊपर है। व्यक्तिगत रूप से, मैं इसे इस लायक नहीं समझता, विशेष रूप से यह देखते हुए कि अधिक से अधिक वेबसाइटों के लिए जावास्क्रिप्ट की आवश्यकता होती है जो सभी में काम करते हैं, जिसका अर्थ है कि आप लगातार लिपियों या संपूर्ण डोमेन (और उस बिंदु पर, आप कुछ को हरा रहे हैं) पहली जगह में इसका उपयोग करने का लाभ)।


4

Http://en.wikipedia.org/wiki/Cross-site_scripting और http://en.wikipedia.org/wiki/Cross-site_request_forgery देखें कि कैसे दुर्भावनापूर्ण इरादे वाले कोई व्यक्ति जावास्क्रिप्ट का उपयोग करके समस्याएं पैदा कर सकता है।

FWIW - मुझे व्यक्तिगत रूप से NoScript के साथ रोल नहीं करना है क्योंकि मुझे लगता है कि यह एक प्रमुख सिरदर्द है। कभी-कभी आपको बस यह देखना होता है कि आप कहां ब्राउज़ कर रहे हैं और सर्वश्रेष्ठ के लिए आशा करते हैं।


2
मुझे नहीं पता, मुझे लगता है कि वे दोनों वेब डेवलपर के लिए उपयोगकर्ता की तुलना में बड़ी चिंताएं हैं। मुझे लगता है कि एक खराब डिज़ाइन वाली साइट उन प्रकार की खामियों के लिए अतिसंवेदनशील है, जो तब उपयोगकर्ता के डेटा से समझौता कर सकती थीं .. लेकिन वास्तव में, वे किस तरह का सामान चोरी करने जा रही हैं? आप कुछ क्रमी फोरम पर उपयोगकर्ता नाम? ह्वापी डो। केवल यह जगह मायने रखती है कि आपको क्रेडिट कार्ड की जानकारी और सामान कब मिला है, लेकिन आपको उस साइट पर उस तरह की जानकारी दर्ज नहीं करनी चाहिए, जिस पर आपको पहली बार भरोसा नहीं है।
एमपीएन

2
@ मर्क, क्या आप समझते हैं कि CSRF क्या है? मान लें कि आपका ब्राउज़र आपके बैंक में खुला है और दूसरी टैब किसी बुरी साइट पर खुली है। CSRF के साथ, दुष्ट साइट आपके बैंक से आपके सभी पैसे अपने खाते से बाहर स्थानांतरित करने का अनुरोध करने के लिए आपके ब्राउज़र को धोखा दे सकती है।
अक्टूबर को Zoredache

1
कहीं और जाने से पहले संवेदनशील जगहों से लॉग आउट करके आप खुद को सीएसआरएफ से बचा सकते हैं। हालांकि मुझे लगता है कि बैंकों को इस चमकते छेद के बिना डिजाइन किया जाएगा, मुझे पता है कि वे अतीत में नहीं रहे हैं।
ज़ुराहन

1
  • खराब लिखित या दुर्भावनापूर्ण जावास्क्रिप्ट आपके ब्राउज़र को क्रैश कर सकता है, या इसे फ्रीज करने का कारण बन सकता है
  • जावास्क्रिप्ट का उपयोग ड्राइव-बाय डाउनलोड करने के लिए किया जा सकता है

  • लेकिन, ठीक से और जैसा कि इरादा था, जावास्क्रिप्ट वेब ब्राउज़िंग अनुभव को बढ़ाता है

पेशेवरों और विपक्ष हैं, लेकिन पूरे पर यह परेशानी के लायक है। रिकॉर्ड के लिए, मैं हमेशा NoScript एक्सटेंशन का उपयोग करता हूं, चुनिंदा साइटों को नियमित रूप से सक्षम करने के लिए स्क्रिप्ट्स का उपयोग करता हूं और मुझे उम्मीद है कि वे सुरक्षित हैं।


0

जबकि छवि प्रसंस्करण और XML प्रतिपादन में तकनीकी रूप से शोषण हुआ है और जैसे, सभी इरादों और उद्देश्यों के लिए वर्तमान में हमले के तीन वैक्टर हैं: सोशल इंजीनियरिंग (उपयोगकर्ता को धोखा देना, उपयोगकर्ता को दुर्भावनापूर्ण फ़ाइल चलाने के लिए), प्लगइन्स (फ़्लैश) और जावास्क्रिप्ट।

जावास्क्रिप्ट सीधे निर्देशों को चलाने की अनुमति देता है, और अतीत में ActiveX नियंत्रणों के अविश्वसनीय रूप से खराब निर्णय और कार्यान्वयन के कारण यह इंटरनेट एक्सप्लोरर के मामले में विशेष रूप से खराब है (हालांकि इस संबंध में Microsoft ने सुधार किया है)। आपको आवश्यक रूप से छायादार साइटों पर भी जाने की आवश्यकता नहीं है, क्योंकि विज्ञापन जावास्क्रिप्ट में दिए जाते हैं और ऐसे कई मामले हैं जिनमें दुर्भावनापूर्ण विज्ञापनों को वैध साइटों पर परोसा गया है।

संक्षिप्त उत्तर: यदि आप खतरों के बारे में चिंता करने जा रहे हैं, तो इसके बारे में चिंतित होने के लिए तीन चीजें हैं: इंटरनेट एक्सप्लोरर, फ्लैश और जावास्क्रिप्ट।


"जावास्क्रिप्ट सीधे निर्देश चलाने की अनुमति देता है" - स्रोत? यह ActiveX की वजह से IE के पुराने संस्करण में सच है, लेकिन अब जब केवल सुरक्षा के कारनामे पाए जाते हैं, तब होता है, और आमतौर पर उन पर बहुत जल्दी पैच लगाए जाते हैं। जावास्क्रिप्ट ही वास्तव में आपके सिस्टम के लिए बहुत कुछ नहीं कर सकता है - कम से कम, यह आपके ब्राउज़र को धीमा कर सकता है या क्रैश कर सकता है।
साशा चेडगोगो

2
जावास्क्रिप्ट एक प्रोग्रामिंग भाषा है, आप निर्देश लिखते हैं। मैं मशीन कोड स्तर के निर्देशों का उल्लेख नहीं कर रहा हूं, मैं स्वयं भाषा का उल्लेख कर रहा हूं - जो चल रहा है जावास्क्रिप्ट कोड चला रहा है; न आधिक न कम। HTML और CSS के विपरीत (IE में eval से अलग) जो विशुद्ध रूप से वर्णनात्मक हैं। उसके कारण, जावास्क्रिप्ट के माध्यम से कमजोरियों की संभावना खगोलीय रूप से अधिक है - जावास्क्रिप्ट केवल सौम्य है यदि कार्यान्वयन या विनिर्देशों में कोई गलती नहीं है, जो कभी नहीं होगा।
ज़ुरहान

0

बहुत कम कंप्यूटर यदि इंटरनेट से जुड़ा कोई भी कंप्यूटर शोषण का सबूत है। किसी को आपकी मशीन पर दुर्भावनापूर्ण विज्ञापन प्राप्त करने के लिए MeltDown और Spectre की भी आवश्यकता नहीं थी, यह विश्वसनीय वेबसाइटों से आया था जैसे कि यह हमेशा होता है।

यहां बताया गया है कि पिछले साल दुर्भावनापूर्ण विज्ञापनों की महामारी इतनी अधिक क्यों बढ़ गई कि ज़िरकोनियम समूह पुश फॉर्नी मालवेयर और फर्जी फ्लैश अपडेट से मजबूर रीडायरेक्ट हो गया। DAN GOODIN - 1/23/2018, 5:00 AM

1990 के दशक में, नेटस्केप नेविगेटर ने डिजिटल रूप से javaScript पर हस्ताक्षर किए, हमें अब इसके बेहतर संस्करण की आवश्यकता है।


0

जावास्क्रिप्ट को जरूरी नहीं कि आपके कंप्यूटर को आपको नुकसान पहुंचाने के लिए कचरा करना पड़े। यहां जावास्क्रिप्ट स्निफ़र्स के कुछ सीधे उदाहरण दिए गए हैं जिनका उपयोग आपकी बैंकिंग जानकारी को चुराने और एक दूरस्थ हमलावर को भेजने के लिए किया जा सकता है:

https://www.smartspate.com/four-javascript-sniffer-that-will-show-how-careful-you-should-be-with-online-purchasing/

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.