Ho visto questo video e quello che dice questo ragazzo è questo
con javascript è facile creare un worm che ruba le tue informazioni
anche quel javascript continuerà ad essere eseguito anche se hai chiuso la scheda
del sito infetto, nelle altre schede. Anche dopo aver chiuso il browser
si salverà nella cache solo per caricarsi la prossima volta che apri il browser.
I javascript sono davvero così pericolosi? Vale la pena usare NoScript?
Hai perso leggermente il punto del video. Il suo messaggio principale non è "Javascript è pericoloso" è "I server proxy anonimi sono pericolosi!"
L'attacco nel video che hai postato si basa principalmente sul fatto che la destinazione venga utilizzata da un server proxy dannoso. L'utilizzo di un server proxy è una scelta consapevole che l'utente fa e l'utilizzo di un proxy non affidabile è una pessima idea. Un server proxy è in grado di intercettare e manipolare qualsiasi cosa tu abbia letto (o posta) sul web. Ciò dà loro anche la possibilità di inserire il codice Javascript nei siti Web e monitorare la tua attività su di essi.
Se vuoi essere al riparo dall'attacco presentato in quel video, non utilizzare alcun server proxy non gestito da qualcuno di cui ti fidi, così semplice.
Ma passiamo alla tua domanda attuale: "JavaScript è pericoloso per sé?"
Quando il motore javascript del browser funziona come progettato , Javascript è abbastanza sicuro. Concettualmente, Javascript non è in grado di accedere ad altre schede tranne quella in cui è incorporato. Persino javascript che viene eseguito dopo che la scheda è stata chiusa è anche impossibile.
Tuttavia, in passato tutti i browser avevano bug che potevano essere sfruttati per scavalcare alcune di queste restrizioni in alcune circostanze.
Considerare se usare NoScript è un'opzione: NoScript può proteggerti da alcuni exploit basati su browser, ma non tutti. Ci sono molti altri exploit che colpiscono altri sottosistemi del browser. La motivazione principale per utilizzare NoScript è proteggere la sanità mentale dai siti Web che abusano di Javascript per pubblicità inversa o altri fastidi.
Javascript è semplicemente un linguaggio di programmazione e non è intrinsecamente pericoloso.
Tuttavia, la prima legge immutabile dice:
Law #1: If a bad guy can persuade you to run his program on your computer, it's not solely your computer anymore.
Quindi è una buona regola generale fare attenzione nell'eseguire pezzi arbitrari di codice che trovi su Internet. I produttori di browser fanno di tutto per proteggerti dal codice malevolo ma non riescono a catturare tutto.
Puoi disattivare JavaScript (e Java, Flash e Silverlight e così via) in modo molto semplice, ma ciò significa un'esperienza molto peggiore quando utilizzi Internet.
Quindi una soluzione come NoScript è un buon compromesso, che consente di abilitare selettivamente Javascript solo sui siti Web di cui ti fidi.
Come per tutte le domande sulla sicurezza, ti viene data una scelta informata su quale rischio sei disposto ad accettare e se il costo di un controllo come NoScript ne vale la pena.
Leggi altre domande sui tag javascript