জাভাস্ক্রিপ্ট কতটা বিপজ্জনক হতে পারে?

9

আমি সম্প্রতি NoScript ব্যবহার করতে শুরু করেছি (এবিপি ছাড়াও) এটি অভ্যস্ত হতে কিছুটা সময় নিয়েছিল এবং সাইটটি কেন কাজ করছে না এবং কোথায় আমার জাভাস্ক্রিপ্টের অনুমতি দেওয়া দরকার তা খতিয়ে দেখতে কোনও নতুন সাইট দেখার সময় মাঝে মাঝে কিছু ক্লিকের প্রয়োজন হতে পারে। অতিরিক্ত সুরক্ষার কি মূল্য?

কিছু বিতর্ক এখানে আলোচনা করা হয় । আমি মনে করি এটি জাভাস্ক্রিপ্ট আপনার কম্পিউটারের জন্য আসল হুমকি কিনা তা নিয়ে এটি উত্থিত হয়। এই সম্পর্কে কোন চিন্তা?

security  javascript 
গর্ডন গুস্তাফসন
সূত্র
2
Tinyurl.com/y8qdwsv চেষ্টা করুন যদি আপনি নোস্ক্রিপ্ট ব্যতীত ব্রাউজিং মনে করেন একটি শালীন ধারণা।
জোশ কে
1
আপনি যদি খুব শক্তভাবে হাসতে চান তবে tinyurl.com/ydwxk63 ব্যবহার করে দেখুন ।
হাসান চপ
@ জোশক ওউওউইউউ, সিপিইউ এবং মেমো এগিয়ে চলেছে!
ম্যাক্সিম জাস্লাভস্কি
1
এবং বেশ কয়েকটি জিনিস সম্ভবত ক্র্যাশ। এটা তোলে এর 2.4MB iframeএর
জোশ কে
@ জো কে: আমি ফায়ারফক্স এটির অনুমতি পেয়ে বেশ হতাশ। অপেরা বিভিন্ন আচরণ প্রদর্শন করে (প্রায় বিরক্তিকর নয়) তবে তা এখনও দূরে সরে যায়। ক্রোম মোটেও খুব বেশি গোলমাল ফেলে না; এটি কতবার পপআপ করতে পারে তা সীমাবদ্ধ বলে মনে হচ্ছে। (হ্যাঁ, আমি যথেষ্ট মূঢ় এটা চেষ্টা করতে 3 বার ছিল না)
mpen

উত্তর:

3

নোস্ক্রিপ্ট এমনকি প্রথম স্থানে থাকার কারণটি প্রতি সেভায় জাভাস্ক্রিপ্ট নয় , তবে ব্রাউজারে সুরক্ষা গর্ত রয়েছে। অতীতে ফায়ারফক্স এবং অন্যান্য ব্রাউজারগুলিতে অনেকগুলি সুরক্ষা দুর্বলতা ছিল যা দূষিত জাভাস্ক্রিপ্টকে ব্যবহারকারীর সিস্টেমে খারাপ কাজ করতে দেয়। (অনেক ক্ষেত্রে জাভাস্ক্রিপ্টের মাধ্যমে নেটিভ কোড কার্যকর করা যেতে পারে, যার অর্থ কোনও ওয়েবসাইট সম্ভবত আপনার কম্পিউটারে কিছু করতে পারে)) ক্রিস-সাইট স্ক্রিপ্টিং আক্রমণ হওয়ার সম্ভাবনাও রয়েছে , যেমন @ ইরিক বলেছিলেন।

তবে, আপনি নিয়মিত ছায়াময়ী ওয়েবসাইটগুলি ব্রাউজ না করা পর্যন্ত এই হুমকিগুলি খুব কম এবং খুব দূরত্বের মধ্যে রয়েছে, সুতরাং নোস্ক্রিপ্টের ঝামেলাটি মূল্যবান কিনা তা আপনার কাছে। ব্যক্তিগতভাবে, আমি এটি মূল্যবান বলে মনে করি না, বিশেষত বিবেচনা করে যে আরও বেশি সংখ্যক ওয়েবসাইটগুলিতে জাভাস্ক্রিপ্টের আদৌ কাজ করা প্রয়োজন, যার অর্থ আপনি ক্রমাগত সাদা স্ক্রিপ্টগুলি বা সম্পূর্ণ ডোমেনগুলি শ্বেত তালিকাভুক্ত করবেন (এবং সেই সময়ে আপনি কিছুটিকে পরাজিত করছেন) এটি প্রথম স্থানে ব্যবহারের সুবিধা)।

রেভস সাশা চেডিগোভ
সূত্র
4

দূষিত অভিপ্রায় সহকারে জাভাস্ক্রিপ্ট ব্যবহার করে কীভাবে সমস্যা দেখা দিতে পারে তার উদাহরণগুলির জন্য http://en.wikedia.org/wiki/Cross-site_scriptting এবং http://en.wikedia.org/wiki/Cross-site_request_forgery দেখুন ।

এফডব্লিউআইডাব্লু - আমি ব্যক্তিগতভাবে নোস্ক্রিপ্ট নিয়ে রোল করি না কারণ আমি মনে করি এটি একটি বড় মাথা ব্যথা। কখনও কখনও আপনাকে কেবল কোথায় ব্রাউজ করছেন তা দেখতে হবে এবং সেরাের জন্য আশা করতে হবে।

এরিক
সূত্র
2
তবে, আমি মনে করি যে এটি উভয়ই ব্যবহারকারীর চেয়ে ওয়েব বিকাশকারীদের জন্য বড় উদ্বেগ। আমি মনে করি একটি খারাপভাবে ডিজাইন করা সাইটটি সেই ধরণের ত্রুটিগুলি সম্পর্কে সংবেদনশীল যা এর ফলে ব্যবহারকারীর ডেটা আপস করতে পারে .. তবে আসলে কী ধরণের জিনিস তারা চুরি করতে চলেছে? আপনি কিছু crummy ফোরামে ব্যবহারকারীর নাম? হুপি ডু যখন আপনার ক্রেডিট কার্ডের তথ্য এবং স্টাফগুলি পাওয়া যায় কেবল তখনই এটির জন্য গুরুত্বপূর্ণ স্থানটি আপনি রাখেন না তবে এমন কোনও সাইটে আপনি কখনই বিশ্বাস করেন না এমন কোনও সাইটে never ুকানো উচিত নয়।
এমপেন
2
@ মার্ক, আপনি কি বুঝতে পারবেন সিএসআরএফ কী? বলুন যে আপনার ব্রাউজারটি আপনার ব্যাঙ্কে খোলা আছে এবং অন্য একটি ট্যাব একটি মন্দ সাইটের জন্য খোলা আছে। কোনও সিএসআরএফের সাহায্যে মন্দ সাইটটি আপনার ব্রাউজারটিকে আপনার সমস্ত অর্থ আপনার অ্যাকাউন্ট থেকে আদানের জন্য আপনার ব্যাঙ্ককে অনুরোধ করতে প্ররোচিত করতে পারে।
জোড়াদেচি
1
আপনি অন্য কোথাও যাওয়ার আগে সংবেদনশীল সাইটগুলি লগ আউট করে নিজেকে সিএসআরএফ থেকে রক্ষা করতে পারেন। যদিও আমি ভাবতে চাই যে এই চমকপ্রদ ছিদ্র ছাড়াই ব্যাংকগুলি নকশা করা হবে তবে আমি জানি তারা অতীতে হয় নি।
জুরাহন
1
  • দুর্বলভাবে লিখিত বা দূষিত জাভাস্ক্রিপ্ট আপনার ব্রাউজারটিকে ক্রাশ করতে পারে, বা এটিকে জমাট বাঁধার কারণ হতে পারে

  • জাভাস্ক্রিপ্ট ড্রাইভ বাই ডাউনলোডগুলির কারণ হতে পারে

  • তবে, যথাযথভাবে এবং উদ্দেশ্য হিসাবে ব্যবহার করা হয়েছে, জাভাস্ক্রিপ্ট ওয়েব ব্রাউজিংয়ের অভিজ্ঞতা বাড়িয়ে তুলবে

বিভিন্ন মতামত রয়েছে, তবে সামগ্রিকভাবে এটি সমস্যার জন্য মূল্যবান। রেকর্ডের জন্য, আমি সর্বদা নোস্ক্রিপ্ট এক্সটেনশন ব্যবহার করি, আমি নিয়মিত যে সাইটগুলিতে ভিজিট করি সেগুলির জন্য বাছাই করে স্ক্রিপ্টগুলি সক্ষম করে এবং আমার প্রত্যাশা নিরাপদ থাকে।

গ্রান্ট পালিন
সূত্র
0

যদিও ইমেজ প্রসেসিং এবং এক্সএমএল রেন্ডারিং এবং এর মতো প্রযুক্তিগতভাবে শোষণ হয়েছে, সমস্ত অভিপ্রায় এবং উদ্দেশ্যগুলির জন্য বর্তমানে আক্রমণকারীর তিনটি ভেক্টর রয়েছে: সামাজিক প্রকৌশল (ব্যবহারকারীকে ট্র্যাকিং, ব্যবহারকারীকে দূষিত ফাইল চালানোর জন্য), প্লাগইনস (ফ্ল্যাশ) , এবং জাভাস্ক্রিপ্ট।

জাভাস্ক্রিপ্ট সরাসরি নির্দেশগুলি চালনার অনুমতি দেয় এবং অতীতে অবিশ্বাস্যভাবে দুর্বল সিদ্ধান্ত গ্রহণ এবং অ্যাক্টিভ্স নিয়ন্ত্রণগুলি প্রয়োগ করার কারণে এটি ইন্টারনেট এক্সপ্লোরারের ক্ষেত্রে বিশেষত খারাপ (যদিও মাইক্রোসফ্ট এই ক্ষেত্রে উন্নতি করেছে)। আপনাকে জাভাস্ক্রিপ্টে বিজ্ঞাপন দেওয়া হয় এবং এমন একাধিক ক্ষেত্রে আছে যেখানে বৈষম্যমূলক বিজ্ঞাপনগুলি বৈধ সাইটগুলিতে পরিবেশন করা হয়েছে এর জন্য একাধিক ক্ষেত্রে আপনার ছায়াময় সাইটগুলিতেও যেতে হবে না।

সংক্ষিপ্ত উত্তর: আপনি যদি হুমকির বিষয়ে উদ্বিগ্ন হন তবে তিনটি বিষয় সম্পর্কে উদ্বিগ্ন হওয়া দরকার: ইন্টারনেট এক্সপ্লোরার, ফ্ল্যাশ এবং জাভাস্ক্রিপ্ট।

Zurahn
সূত্র
"জাভাস্ক্রিপ্ট সরাসরি নির্দেশিকা চালানোর অনুমতি দেয়" - উত্স? এটি অ্যাক্টিভএক্সের কারণে আইআই এর পুরানো সংস্করণে সত্য, তবে এখনকার দিনগুলি কেবল তখনই ঘটে যখন সুরক্ষা শোষণগুলি পাওয়া যায় এবং সেগুলি সাধারণত খুব দ্রুত প্যাচ করা হয়। জাভাস্ক্রিপ্ট নিজেই আপনার সিস্টেমে খুব বেশি কিছু করতে পারে না - সর্বাধিক, এটি ধীর হয়ে যেতে পারে বা আপনার ব্রাউজারটি ক্র্যাশ করতে পারে।
সাশা চেদিগোভ
2
জাভাস্ক্রিপ্ট একটি প্রোগ্রামিং ভাষা, আপনি নির্দেশাবলী লিখুন। আমি মেশিন কোড স্তরের নির্দেশাবলী উল্লেখ করছি না, আমি নিজেই ভাষাটি উল্লেখ করছি - যে জাভাস্ক্রিপ্ট চলমান কোড চলছে; বেশিও না, কমও না. এইচটিএমএল এবং সিএসএসের বিপরীতে (আইআই এওওয়াল বাদে) যা সম্পূর্ণ বর্ণনামূলক। এর কারণ হিসাবে, জাভাস্ক্রিপ্টের মাধ্যমে দুর্বলতার সম্ভাবনা জ্যোতির্বিজ্ঞানের দিক থেকে বেশি - জাভাস্ক্রিপ্ট কেবলমাত্র সৌম্য যদি বাস্তবায়ন বা নির্দিষ্টকরণের ক্ষেত্রে কোনও ভুল না হয়, যা কখনই ঘটে না।
জুরাহন
0

ইন্টারনেটের সাথে সংযুক্ত যে কোনও কম্পিউটার যদি প্রমাণ ব্যবহার করে তবে খুব কম কম্পিউটার। আপনার মেশিনে দূষিত বিজ্ঞাপন পেতে একজনের এমনকি মেল্টডাউন বা স্পেকটারেরও দরকার পড়েনি, এটি বিশ্বস্ত ওয়েবসাইটগুলি থেকে আসে যেমন এটি সর্বদা।

এখানে কেন দূষিত বিজ্ঞাপনগুলির মহামারীটি গত বছর জিরকনিয়াম গ্রুপের ফোনি ম্যালওয়্যার এবং জাল ফ্ল্যাশ আপডেটগুলি থেকে জোর করে পুনঃনির্দেশগুলি জোর করে বেড়েছে। DAN GOODIN - 1/23/2018, 5:00 পূর্বাহ্ণ

1990 এর দশকে, নেটস্কেপ নেভিগেটর জাভা স্ক্রিপ্ট ডিজিটাল স্বাক্ষর করেছিলেন, আমাদের এখন এটির একটি উন্নত সংস্করণ প্রয়োজন।

রেভস আরজেট
সূত্র
0

জাভাস্ক্রিপ্ট অগত্যা আপনার ক্ষতি করতে আপনার কম্পিউটার ট্র্যাশ করা প্রয়োজন। এখানে জাভাস্ক্রিপ্ট স্নিফারগুলির কিছু সরল উদাহরণ রয়েছে যা আপনার ব্যাংকিং তথ্য চুরি করতে এবং এটি কোনও দূরবর্তী আক্রমণকারীকে প্রেরণে ব্যবহার করা যেতে পারে:

https://www.smartspate.com/four-javascript-sniffer-that-will-show-how-careful-you-should-be-with-online-purchasing/

pevogam
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.