Supponendo che disponga di un computer client indifeso con Windows 7 che consentirà felicemente qualsiasi codice javascript che si trova su Internet, qual è il danno peggiore che potrebbe essere inflitto?
Non sono chiaro su "reach" di javascript. Potrebbe cancellare i file sul disco rigido? Potrebbe cambiare le autorizzazioni di accesso degli utenti? Quale orribile destino è NoScript che mi salvi ogni giorno?
La portata prevista di Javascript è limitata, quindi non può accedere al desktop né a nessun file sul tuo computer. La sicurezza del tuo computer è limitata al livello di aggiornamento del browser (patching ecc.) E ai relativi plugin.
Dall'altro lato, i "cattivi" cercano di trovare buchi nella tecnologia e usano quella conoscenza per ottenere l'accesso a qualcosa che altrimenti non farebbero. Quando ciò accade, e il venditore ne è a conoscenza, viene rilasciata una patch.
Poche cose negative che Javascript può fare:
Solo Javascript potrebbe consentire a tutte le informazioni di un sito Web scritto male di essere inviato a un "cattivo ragazzo". Questo è chiamato XSS / CRSF.
Può anche far sì che il tuo account di accesso effettui modifiche ai siti web (modificando i dati finanziari di un altro sito non correlato) senza che tu lo sappia.
Infine, per quanto riguarda il tuo computer locale, l'esposizione dipende da quali componenti aggiuntivi sono installati (Flash, ecc.). Se il client ha una vecchia versione di Flash installata, allora tutto il tuo PC può avere installato software dannoso, o alterare le finestre di sicurezza per confondere anche un utente colto / informato.
Come client su un browser web, javascript in genere non rappresenta una minaccia per il tuo file system o modifica delle autorizzazioni. Ci sono state alcune eccezioni / vulnerabilità ad esempio, questo problema in jscript o questo in compilatore firefox 3.5 jit , ma queste vulnerabilità sono generalmente rattoppato nel browser web (e relativamente raro per javascript semplice, esp paragonato ad altri plugin come le app flash / java).
Il pericolo più grande con javascript dannoso è lo scripting cross-site ( XSS ) o la falsificazione di richieste cross-site ( CSRF ). Su un sito web mal configurato in cui i contenuti generati dall'utente non attendibili possono inserire javascript che viene eseguito sulle pagine di altre persone, il javascript può eseguire azioni dal punto di vista dell'altro utente.
Le altre risposte sono probabilmente le migliori, ma considera anche quanto segue:
Come accennato in precedenza, se un host si trova su un dominio, tutte le risorse del dominio sono molto più facili da raggiungere. Un singolo host compromesso è spesso abbastanza per consentire ai malintenzionati il punto di ingresso di cui hanno bisogno per la rete.
Questo è un po 'diverso, ma un host compromesso potrebbe essere utilizzato per memorizzare file illegali. Non è necessariamente l'ideale per il cattivo, ma diventi quindi responsabile per qualsiasi file trovato sul tuo disco (dovresti essere indagato dalle forze dell'ordine).
Leggi altre domande sui tag javascript