Numerose estensioni di siti web flash per la whitelisting di chrome (come flashblock e flashcontrol) utilizzano javascript per bloccare in modo selettivo il funzionamento di Adobe Flash. Pertanto, al fine di ottenere questa funzionalità, devo abilitare javascript per il sito risultante in un diverso tipo di vulnerabilità di sicurezza possibile. Questo ti obbliga a scegliere l'uno o l'altro. Quale saresti più preoccupato in questa situazione?
La risposta è: sì . Dovresti sempre preoccuparti del software.
"Complexity is the worst enemy of secuirty"
--Bruce Schnieir
Detto questo, anche se la tua macchina è completamente rattoppata, uno dei tanti Flash 0-days potrebbe comunque compromettere la macchina. XSS è sfruttabile a prescindere dal fatto che la tua macchina sia corretta. Questo difetto viene solitamente sfruttato con JavaScript ma può essere sfruttato anche con Flash, quindi avere uno di questi sarebbe un problema. È anche importante notare che circa il 90% dei siti web non funzionerà senza JavaScript, quindi disabilitarlo è molto problematico. Le vulnerabilità CSRF basate su GET possono essere sfruttate con puro HTML, quindi anche se Flash e JS sono disabilitati puoi comunque essere hackerato.
Cosa farei: Usa Firefox con NoScript . Anche se JavaScript è abilitato globalmente, NoScript bloccherà la maggior parte degli attacchi CSRF e XSS. Installa un antivirus e mantieni la macchina aggiornata.
penso, per bloccare entrambi non sono una soluzione migliore di, mantenere aggiornati il sistema, il motore flash e l'antivirus. Flash e Javascript non sono più pericolosi di qualsiasi altra applicazione sul tuo computer. Loro avevano insetti? Sì, erano riparati? Sì. Come browser, come sistema operativo e come ogni singolo software. Con il flash bloccato. dovresti sapere che, per esempio, YouTube non funzionerà come previsto. Se si blocca javascript, alcuni altri siti che dipendono da, non funzionerà, e forse l'esperienza di tua moglie con internet non sarà come lei si aspetta.
In realtà nessuno di questi è il problema di sicurezza "più grande". DOM XSS è la preoccupazione maggiore in quanto non esiste una reale prevenzione pratica contro di essa. Inoltre, provare a proteggersi impostando una grande lista bianca di siti causerà più mal di testa che no. La raccomandazione è avere una scatola per divertimento e una scatola per questioni personali come il bancario. O per esporre ulteriormente l'installazione di un ambiente virtualizzato e avere un sistema che fa tutte le cose pericolose che coinvolgono flash o javascript e l'altro è dove puoi fare operazioni bancarie che non ha flash o javascript abilitato.
La domanda qui è chi crea software più sicuro? Le persone che creano il browser o Adobe?
Sono praticamente uguali, specialmente con tutto il materiale HTML 5. Di solito devi abilitare JavaScript per Flash, quindi potresti aggiungere Flash come potenziale per portare ulteriori vettori di attacco.
Leggi altre domande sui tag javascript flash web-browser