ist javascript nicht unsicher?
man kann das doch im browser einfach deaktivieren, dann ist JS doch voll unsicher wenn man damit etwas deaktiviert oder so ??
4 Antworten
Bei mir ist JS standardmäßig deaktiviert und ich betreibe peinlich genaue "Rosinenpickerei", welche Seite sich was aus welcher Quelle erlauben darf. Aber die aller wenigsten sind so paranoid, also mach dir keinen Kopf! :)
Du solltest allerdings nicht übermäßig auf sinnlosen JS-Bloat setzen. Websites, bei denen die Links ausschließlich mit JS funktionieren, verlieren natürlich die paranoiden User (wie mich), auch wenn das unter einem Prozent liegen dürfte.
Genauso bescheuert ist es, Websites als PDF oder SVG auszuliefern (beides schon gesehen, falls jemand fragt!), also nutze JS lieber für sinnvolle "Helferlein", die den Besuchern das Leben erleichtern, aber auf die man eben nicht angewiesen ist.
Disclaimer: Ich spreche ausdrücklich nicht von Webapplikationen, sondern von stinknormalen Websites; zur Not auch Shops und Foren! :)
Fazit: JavaScript ist NUR dann sinnvoll, wenn es SINNVOLL ist!Schönen Abend noch! :)
(...) dann ist JS doch voll unsicher wenn man damit etwas deaktiviert oder so ?? (...)
Nein. JavaScript hat nicht den Anspruch darauf, Webseiten im Browser sicher zu machen, sondern zusätzliche Funktionalitäten zu ermöglichen. Diese kannst du als Nutzer von Anfang an ablehnen oder eben nicht.
Dies macht in vielen Fällen auch Sinn. Viele Webseiten werden auch heute noch von Unmengen von interaktiven Werbebannern oder Popups bevölkert, die mittels JavaScript realisiert wurden. Dies war der Grund für die Nachfrage an Werbe- und Skriptblockern wie AdBlock Plus oder NoScript. Sie sperren / blockieren Skripte auf fremden Seiten, die nicht vertrauenswürdig sind oder als Werbung erkannt werden und ermöglichen eine dynamischen Verwaltung (der Browser selbst hingegen bietet nur die Option an/aus).
ist javascript nicht unsicher?
JavaScript ist abhängig von der Umgebung, in der sie läuft / interpretiert wird. Also bestimmt die JS-Engine des Browsers, welche Funktionalitäten der Sprache zur Verfügung stehen und wie mächtig sie werden kann.
So hat JavaScript bspw. nur sehr beschränkte Schreib- und Leserechte von Dateien auf dem Rechner des Nutzers oder ein weiteres Beispiel erlebst du, wenn sich mehrere Hinweisfenster nacheinander öffnen - der Browser bietet die Möglichkeit (via Checkbox) weitere Meldungen auf der Webseite zu unterbinden.
Durchaus ist es möglich, unsichere Operationen über JavaScript laufen zu lassen (z.B. HTML Injection) oder ungewollte Aktionen durchzuführen (Abgreifen persönlicher Daten). Dies wird in den meisten Fällen aber erst durch schlecht (oder böswillig) entwickelte Webanwendungen begünstigt.
Letzen Endes sind JavaScript-Anwendungen somit nicht unbedingt unsicherer als andere Anwendungen. Eine 100%-Sicherheit ist so und so nicht gewährleistbar. Grund also, nun in Panik zu verfallen, gibt es meines Erachtens nicht.
Lies Weiteres dazu hier:
- https://security.stackexchange.com/questions/110850/what-are-the-exact-security-risks-of-having-javascript-enabled
- https://stackoverflow.com/questions/3793246/javascript-security-risks
- http://www.computerweekly.com/tip/Vulnerabilities-in-JavaScript-Secure-coding-insights-and-tips
- https://developer.mozilla.org/en-US/docs/Web/Security
Über 90% aller aktuellen Sicherheitslücken im Chrome lassen sich darauf zurück führen, dass es Angreifer schaffen, aus der Sandbox auszubrechen!
Überfliege doch mal die öffentlichen Bugfixes von Chrome oder Firefox ... man kann getrost sagen, dass es wöchentlich mindestens einen größeren Ausbruch aus der Sandbox gibt!
Angriffe, die kein JS benötigen, kann man unter Ulk verbuchen ... wirst du kaum finden! :)
Früher war Flash und Java natürlich unvergleichbar unsicher, aber da die beiden ja heutzutage weggefallen sind, bzw. sein sollten, ist JS das Nummer Eins Einfallstor. :)
Eine Sandbox ist immer nur ein zusätzlicher Schutz, aber dieser ist weder unumgehbar, noch bietet er eine Sicherheit, auf die man sich verlassen kann.
Ich würde in meinen Browsern niemals global alle Skripte erlauben. Das wäre wie Russisch-Roulette ... zwar mit einem Revolver in dessen Trommel einige hundert Kugeln passen würden, aber irgendwann erwischt es einen dann eben doch. :)
Das Thema "Drive-By-Downloads" würde ohne häufige und schwere Lücken in der JS-Sandbox kaum existieren.
Über 90% aller aktuellen Sicherheitslücken im Chrome lassen sich darauf zurück führen, dass es Angreifer schaffen, aus der Sandbox auszubrechen!
Bitte mache keine solcher Angaben ohne Nachweiß! Hast du eine Analyse der Bugfixes gefunden/offizielle gemacht, lasse ich mich gerne eines besseren belehren aber einfach so kann ich dem nicht zustimmen.
Ja, mit Javascript kann man viel blödsinn machen. Natürlich ist sowas sicherheitstechnisch eine Sache.
Man kann es in den Browsereinstellungen oder mit einem Script Blocker deaktivieren, dann wirste aber beim surfen keine Freude mehr haben, da es praktisch überall zum Einsatz kommt
Verstehe deine Logik nicht. Erst redest du davon JavaScript im Browser zu deaktivieren und dann davon etwas mit JavaScript zu deaktivieren.
Generell: JavaScript kann durchaus unsicher sein. Entweder durch falsche oder durch böswillige Programmierung.
Es ist aber nicht immer schlecht. Viele dynamische Inhalte ließen sich ohne JavaScript überhaupt nicht realisieren.
Wie unsicher JavaScript ist, hängt v. a. von der JavaScript-Engine ab. Normalerweise ist JavaScript ja ziemlich eingeschränkt in dem, was es darf.
Du hast noch das wichtige Detail vergessen dass JavaScript in einer Sandbox ausgeführt wird und somit weder etwas auf dem PC ausführen, noch auf andere Tabs zugreifen kann.
Das ist ein 'Sicherheitsrisiko', dass man auch immer nennen muss, dass es auch der letzte Kritiker versteht :'c