Jag har många gånger hört talas om att javascript kan användas på elakartade vis och att detta är en av anledningarna till att många inaktiverar javascript när de är ute o surfar på mer tveksamma sidor. Då jag själv endast använt javascript för att göra popups som säger till dig att du gjort något fel till ett login eller registreringsskript är jag lite nyfiken på exakt vad för elakartade saker man kan göra med hjälp av javascript? Och finns det något annat sätt att skydda sig mot nämnda elakheter än att inaktivera javascript?
Även så undrar jag lite om det är någon som vet ungefär hur vanligt det är att man har inaktiverat javascript?
Ber så hemskt mycket om ursäkt om det här ämnet har varit uppe förut men jag hittade inget specifikt om det här.
T.ex. så skulle en sida kunna ha en oändlig loop med alerts, det skulle förmodligen resultera i att du skulle bli tvungen att avsluta processen.
Ah, jag har sett något liknande nån gång, men är det inget värre som någon skulle kunna göra med javascript? om man stöter på något sådant är det ju mest att starta om webbläsaren..
Ah, jag har sett något liknande nån gång, men är det inget värre som någon skulle kunna göra med javascript? om man stöter på något sådant är det ju mest att starta om webbläsaren..
Kanske ingen större förlust ibland, men inte så kul om man sitter med 50+ öppna tabbar.
Man kan göra en cookiestealer, ta kakorna och sen använda dom så att man blir inloggad där du är inloggad. Eller en osynlig iframe som pekar till en sida med ett browserexploit kanske inte är så trevligt för besökarna, då (beroende på exploit) har möjligheten att göra lite vad man vill med offrets dator
Egentligen ligger inte säkerhetsbristerna inte i JavaScript, utan i exekveringsmöljön, vanligen din webbläsare.
All tekonologi där man kan exekvera kod är osäker. Kod som exekveras utan godkännade från användare, exempelvis javascript eller actionscript, körs i en sandlåda för att undvika att vem som helst kan ta över ditt system. Men det finns alltid luckor, och vill man vara helt säker skall man inte ha JS, Flash eller ActiveX aktiva.
Dock så är riskerna små, åtminstone med JS och Flash, och om du är en vanlig användare och inte har mycket känsligt material på din dator så är det en förhållandevis stor uppoffring då det gör att många webbsidor inte kan upplevas till fullo eller inte fungerar alls.
Själv har jag alltid kört utan aktivt virusskydd på mina datorer (hemnätverk med fyra datorer), och enda gången jag fått virus var ett antal år sedan då jag körde IE med ActiveX aktivt.
Jag ser bara till att jag håller webbläsare och OS uppdaterade och kickar inte länkar om någon messar mig och ber mig kolla in en sida utan någon vettig anledning.
De problem ant' nämner är ju främst problem med säkerheten från den sidan som kakorna är stulna från. Man får räkna med att kakor inte är säkra, delvis eftersom de flesta har JS aktivt. Då det gäller en iframe med en browserexploit så gäller det inte direkt specifika problem med JS. Dels har någon tagit sig in på din server och lyckats injicera kod, och dels har webbläsaren en säkerhetsbrist hos den användare som blir drabbad.
Så det är mycket riktigt problem att vara medveten om för en utvecklare, och de är relaterade till JS, men inte direkt problem med JS skulle jag vilja påstå.
Då det gäller antal användare med JS, enligt thecounter.com hade 6% inte JS aktivt i mars 2009.
Tyvärr har jag inte egna stats, då varken Awstats, Webalizer eller Google ger några siffror för det.
Egentligen ligger inte säkerhetsbristerna inte i JavaScript, utan i exekveringsmöljön, vanligen din webbläsare.
All tekonologi där man kan exekvera kod är osäker. Kod som exekveras utan godkännade från användare, exempelvis javascript eller actionscript, körs i en sandlåda för att undvika att vem som helst kan ta över ditt system. Men det finns alltid luckor, och vill man vara helt säker skall man inte ha JS, Flash eller ActiveX aktiva.
Dock så är riskerna små, åtminstone med JS och Flash, och om du är en vanlig användare och inte har mycket känsligt material på din dator så är det en förhållandevis stor uppoffring då det gör att många webbsidor inte kan upplevas till fullo eller inte fungerar alls.
Själv har jag alltid kört utan aktivt virusskydd på mina datorer (hemnätverk med fyra datorer), och enda gången jag fått virus var ett antal år sedan då jag körde IE med ActiveX aktivt.
Jag ser bara till att jag håller webbläsare och OS uppdaterade och kickar inte länkar om någon messar mig och ber mig kolla in en sida utan någon vettig anledning.
De problem ant' nämner är ju främst problem med säkerheten från den sidan som kakorna är stulna från. Man får räkna med att kakor inte är säkra, delvis eftersom de flesta har JS aktivt. Då det gäller en iframe med en browserexploit så gäller det inte direkt specifika problem med JS. Dels har någon tagit sig in på din server och lyckats injicera kod, och dels har webbläsaren en säkerhetsbrist hos den användare som blir drabbad.
Så det är mycket riktigt problem att vara medveten om för en utvecklare, och de är relaterade till JS, men inte direkt problem med JS skulle jag vilja påstå.
Då det gäller antal användare med JS, enligt thecounter.com hade 6% inte JS aktivt i mars 2009.
Tyvärr har jag inte egna stats, då varken Awstats, Webalizer eller Google ger några siffror för det.
Nej det är inga fel på JS direkt men det är några sätt JS kan användas på ett elakartat sätt.
Sen är det inte nödvändigtvis så att serverns säkerhet måste kompromissas för att få in lite elak kod, t.ex. en kommentar i en gästbok kan också vara farlig.
Javascript i sig kan väll mest skapa jobbigt trams så som 1.ooskar.com eller drillenisse (en ruta som flyger runt). Hittar man då ett hål i en hemsida, xss, så kan man lägga in ett javascript som sedan förflyttar användaren till en annan hemsida, phishing t.ex.
Av dom javascript/java virus jag stött på är det bara en hemsida som som vill att du laddar ner en fil (*ware/trojaner).
Istället för att skapa en ny tråd undrar jag lite snabbt vad Java och VBscript kan ställa till med?
Javascript i sig kan väll mest skapa jobbigt trams så som 1.ooskar.com eller drillenisse (en ruta som flyger runt). Hittar man då ett hål i en hemsida, xss, så kan man lägga in ett javascript som sedan förflyttar användaren till en annan hemsida, phishing t.ex.
Av dom javascript/java virus jag stött på är det bara en hemsida som som vill att du laddar ner en fil (*ware/trojaner).
Istället för att skapa en ny tråd undrar jag lite snabbt vad Java och VBscript kan ställa till med?
Man kan göra en Java drive-by, d.v.s. en fake Java-applet som laddar ner ett virus som körs på offrets dator. Har spridits en del här på Flashback, hade en liten konversation med killen som spred den och han sa att det gick bra (han fick tillgång till ungefär 180 datorer på det sättet).
Java-applets körs i en sandlåda-miljö, vilket innebär bland annat att de inte kan skapa nätverksanslutningar till andra maskiner än den de laddades ner från, de kan inte skriva till det lokala filsystemet och de kan inte komma åt innehållet i utklipp-bufferten. Detta går att komma runt om man "signar" sin jar-fil som appleten ligger i, då kan den få eleverade rättigheter, under förutsättning att man väljer att lita på certifikatet. Gör du inte det finns det i modernare java-miljöer väldigt små möjligheter att hitta på nåt elakt med en javaapplet.
En vanlig javaapplikation däremot körs ju i samma kontext som den service eller användare som startade den och kan beroende på detta göra lite vad som helst egentligen, dvs full tillgång till lokala resurser såsom filsystem, nätverk etc eftersom man förutsätts veta om vad som startas och inte startas själv i det fallet.
VBScript när det körs från webben(i en webläsare) är praktiskt taget ekvivalent med javascript, det är isf webläsaren som hålet sitter i om man kan göra nåt. VBScript som körs från den lokala datorn har samma rättigheter som den som startade scriptet.
T.ex. så skulle en sida kunna ha en oändlig loop med alerts, det skulle förmodligen resultera i att du skulle bli tvungen att avsluta processen.
Dom flesta webbläsare har väl sedan länge skydd mot sånt här?
Körs ett sådant script som loopar/stör eller bara står och gnager så stoppas scriptet och det ploppar det upp en varning i webbläsaren som frågar om du vill fortsätta köra scriptet samt information om att det kan påverka datorns prestanda.
Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!
