Il malware JavaScript è pericoloso quanto i virus nativi? [chiuso]

La minaccia che un virus impone al tuo sistema è, idealmente, indipendente dal suo linguaggio di programmazione perché i virus sfruttano le vulnerabilità in sistemi operativi, applicazioni, API ecc. In questo senso, un virus Javascript è pericoloso come qualsiasi altro virus.

Inoltre, per le applicazioni web, JavaScript è uno dei principali vettori di attacco in tecniche come cross-site scripting (XSS) e cross-site request forgery (CSRF) perché è piuttosto semplice scrivere per il web. Rapporto annuale sulla sicurezza di Cisco e OWASP Top 10 classifica XSS uno dei metodi più utilizzati per lo sfruttamento delle vulnerabilità.

tl; dr: JavaScript è pericoloso come qualsiasi altro linguaggio di programmazione.

Sì, no, forse sì.

Ci sono un paio di cose importanti in gioco qui.

• Javascript è un linguaggio di programmazione completo. Questo non era il caso nella sua infanzia come stampella per DHTML (Dynamic HTML, qualunque cosa fosse!). Come linguaggio completo con un interprete / compilatore completo, non è affatto diverso da quello degli altri linguaggi in cui è scritto il software. In questi giorni le applicazioni desktop e i daemon server vengono scritti in Javascript.

• Uno dei fattori che lo rende pericoloso è anche il motivo principale per cui non è più un problema: il modello di utilizzo originale era che i browser eseguissero codice non fidato. Grazie in gran parte a Javascript diventando un linguaggio di programmazione completo, il web è diventato una gamma gratuita per "applicazioni" che non si installano ma che il computer esegue ogni volta che si visita. Questo è contrario alla maggior parte degli altri linguaggi che funzionano da qualche parte in cui si seleziona in modo molto selettivo il codice da installare ed eseguire.

  Di conseguenza, la maggior parte degli interpreti Javascript sono stati progettati per essere eseguiti in ambienti virtuali sandboxed in cui non viene loro concesso l'accesso, senza tutte le API esistenti, a meno che non siano concesse in modo specifico le autorizzazioni per farlo.

  Javascript ha totalmente collegamenti per cose come l'accesso al file system e altre funzioni di "basso livello", ma la maggior parte dei browser sceglie di non esporre l'accesso a questi per essere utilizzati da file non affidabili scaricati dal web. Invece forniscono loro una sandbox dove possono fare le cose in un buble. La maggior parte dei browser moderni, ad esempio, fornisce un'API di "memorizzazione locale" in cui la tua app può archiviare i dati, ma non può comunicare con i dati di altri siti web al di fuori della sua sandbox sul tuo sistema a meno che tu non li conceda.

Poiché è previsto che venga eseguito codice non attendibile, gli interpreti Javascript nei browser Web tendono a essere restrittivi, ma come in qualsiasi altro linguaggio sei veramente in balia della qualità dei compilatori e degli interpreti.

Poiché sempre più cose vengono interconnesse con Javascript, è probabile che sia un vettore di malware più popolare. I malware in genere non prosperano sulle piattaforme linguistiche più potenti, ma dove hanno le maggiori possibilità di essere eseguiti.

"Troppo pericoloso" è molto soggettivo di un termine. Dipende davvero da cosa viene usato il JS. JS è semplicemente uno strumento.

Il più comune (e forse il più dannoso) è chiamato un attacco cross site scripting in cui il JS dannoso reindirizza il traffico. Questo traffico può essere falsificato e quindi appare attendibile / sicuro ma in realtà non lo è. Quindi, dico che questo attacco è 'pericoloso' perché altrimenti si possono intercettare comunicazioni sicure e significative (password / login / ecc.).

Inoltre, JS potrebbe avviare molti altri tipi di malware mirati, ma il "livello di pericolo" è determinato dal malware reale.

Ancora una volta, la tua domanda è ampia e soggettiva ...

btw, se sei davvero preoccupato, considera l'utilizzo di qualcosa come NoScript per consentire in modo selettivo JS.