Ricordo le volte in cui l'uso di Javascript era così innocente; un piccolo pop-up qui, un messaggio di dialogo lì.
Oggigiorno Javascript "ruba" i dati sfruttando vulnerabilità su browser "maturi" come Firefox (precedente alla 39.0.3.) e rendendo il mondo sotto allarme.
The vulnerability comes from the interaction of the mechanism that enforces JavaScript context separation (the “same origin policy”) and Firefox’s PDF Viewer. Mozilla products that don’t contain the PDF Viewer, such as Firefox for Android, are not vulnerable. The vulnerability does not enable the execution of arbitrary code but the exploit was able to inject a JavaScript payload into the local file context. This allowed it to search for and upload potentially sensitive local files.
O semplicemente visitando un sito web ricevi un malware come regalo:
You can get a virus just by visiting a site in Chrome or any other browser, with no user-interaction needed. Even with Chrome you are not 100% secure - and you probably never will be with any browser, but Chrome is getting pretty close to it and the security research community seems to agree that at this time, it is the most secure browser you can use.
- In base a ciò, mi chiedo se JavaScript sia troppo pericoloso per essere utilizzato sui browser o se i browser stessi siano troppo insicuri?
- Sarebbe possibile limitare ciò che JavaScript può fare da una prospettiva di configurazione del browser (ad es. Avviare automaticamente un download o riferimenti a script su altri domini [High threat])?