Quanto è grande il rischio di abilitare lo scripting nel browser Web?

7

Durante la navigazione sul Web, molti siti Web eseguono script (principalmente javascript) che vengono eseguiti senza che l'utente se ne accorga. Quanto è grande il rischio di far passare inosservato Malware durante la navigazione con gli script abilitati? Per approfondire quanto: lo scripting nel browser è più problematico di altri contenuti come CSS o immagini? Quali sono questi problemi?

    
posta Mnementh 18.11.2010 - 21:33
fonte

4 risposte

11

C'è sicuramente un rischio: lo scripting consente essenzialmente l'esecuzione di codice sul browser. Le vulnerabilità vanno dalla lettura della cronologia del browser all'installazione del malware al phishing delle credenziali bancarie, ognuna delle quali può potenzialmente causare "danni" in qualche modo.

Tuttavia, dato che la maggior parte dei siti Web di oggi si basano sullo scripting, c'è un'enorme perdita nella disattivazione degli script, fino al sito che non viene più visualizzato nel browser. Disattivare lo scripting inoltre non protegge da altri modi in cui possono accadere cose brutte sul tuo computer, quindi il ritorno per l'inconveniente non è incredibilmente alto.

Probabilmente l'uso più comune degli script è l'analisi, che consente al webmaster di quel sito di ottenere informazioni su chi sta accedendo a quali pagine, migliorando potenzialmente il flusso del sito e le informazioni presentate. Tuttavia, il rovescio della medaglia è la pubblicità mirata, che consente agli inserzionisti di seguire gli utenti su più siti.

La maggior parte degli script sui siti Web sono "per lo più" innocui, proprio come la maggior parte del software disponibile è "per lo più" innocuo. I responsabili della sicurezza si concentrano sul lato dannoso delle cose e imparano continuamente che esiste un compromesso tra usabilità e sicurezza.

Quello che faccio personalmente è usare Firefox con i componenti aggiuntivi NoScript e Ghostery. Tra questi due - NoScript in particolare - la possibilità di avere degli script iniettati nella pagina che sto visualizzando è notevolmente ridotta. Mi aspetto ancora di diventare pwned ad un certo punto, ma gli strumenti che ho svolgeranno un lavoro ragionevole per tenermi a conoscenza di ciò che sta accadendo finché continuerò a prestare attenzione.

    
risposta data 18.11.2010 - 21:55
fonte
4

Oggi molti siti richiedono lo scripting abilitato, altrimenti l'utente potrebbe riscontrare problemi con l'usabilità e la funzionalità generale del sito. Certo, puoi disabilitare JavaScript, ad esempio, ma anche questo non impedisce completamente di essere sfruttato. Inoltre, è necessario disabilitare Java, Flash, cos'altro viene fornito come plug-in e funzionalità aggiuntive. Ma ciò renderebbe il browser abbastanza inutile oggi. Negli ultimi tempi nei browser moderni sono disponibili soluzioni integrate che dovrebbero aumentare la sicurezza, come IE, Chrome-anti-XSS . Per Firefox è nota l'estensione " NoScript " che consente di gestire l'elenco dei siti che consente JavaScript / Flash / Java. Ma anche queste misure preventive non sono sufficienti: sono state aggirate e chissà quando la prossima volta. In questi giorni dovresti stare attento. A mio parere, la soluzione migliore è navigare in internet da una scatola Linux all'interno di una macchina virtuale. Ma questo è il costo della comodità.

    
risposta data 18.11.2010 - 22:01
fonte
2

Man-in-the-browser è il rischio numero uno. Direi che abilitare l'invio di malware più efficiente è secondario.

Cose come il Browser Exploitation Framework (BeEF) - link - dovrebbero fornire una spiegazione migliore attraverso le sue implementazioni .

    
risposta data 18.11.2010 - 21:39
fonte
0

Se l'usabilità va a zero, le persone troveranno un modo per aggirare il blocco anti-scripting. Come accennato in precedenza, NoScript è un plug-in davvero carino per consentire ad alcuni siti di eseguire script.

I download drive-by sono probabilmente un rischio molto più grande per utenti non sofisticati. Non è necessario alcuno scripting per mostrare all'utente un falso media player flash che dice "upgrade required" e quando l'utente fa clic sul falso "pulsante play", scarica il malware che installa. Gioco finito.

E Flash ha avuto un numero di buffer overflow e vulnerabilità.

    
risposta data 20.12.2010 - 17:13
fonte

Leggi altre domande sui tag