Я недавно начал использовать NoScript (в дополнение к ABP). Потребовалось немного времени, чтобы привыкнуть к нему, и иногда может потребоваться некоторое нажатие при посещении нового сайта, чтобы выяснить, почему сайт не работает и откуда мне нужно разрешить JavaScript. Стоит ли дополнительная безопасность?
Некоторые противоречия обсуждаются здесь. Я полагаю, что все сводится к тому, является ли JavaScript реальной угрозой для вашего компьютера или нет. Есть мысли по этому поводу?
См. Http://en.wikipedia.org/wiki/Cross-site_scripting и http://en.wikipedia.org/wiki/Cross-site_request_forgery для примеров того, как кто-то со злым умыслом может вызвать проблемы с использованием JavaScript.
FWIW - лично я не работаю с NoScript, так как считаю, что это большая головная боль. Иногда вам просто нужно посмотреть, где вы просматриваете, и надеяться на лучшее.
Причина, по которой NoScript вообще существует, - это не обязательно JavaScript как таковой, а дыры в безопасности браузера. В прошлом у Firefox и других браузеров было много уязвимостей, которые позволяли вредоносному JavaScript делать плохие вещи для системы пользователя. (Во многих случаях нативный код может выполняться через JavaScript, что означает, что веб-сайт потенциально может сделать что-нибудь для вашего компьютера.) Существует также возможность межсайтовых скриптовых атак, как сказал @Eric.
Однако, по моему опыту, эти угрозы на самом деле вовсе не являются угрозами. Если вы будете в курсе последних новостей и не будете регулярно посещать сомнительные сайты, все будет в порядке. NoScript, на мой взгляд, больше боли, чем все остальное. Я не думаю, что стоит временно закрывать 99,9% веб-сайтов, которые вы посещаете, просто чтобы защитить себя от других 0,1%. Если вы действительно беспокоитесь, переоцените ваши привычки просмотра.
JavaScript может быть использован для загрузки с диска
Но при правильном использовании и использовании по назначению JavaScript расширяет возможности просмотра веб-страниц.
Есть плюсы и минусы, но в целом это стоит того. Для записи я всегда использую расширение NoScript, выборочно включая сценарии для сайтов, которые я регулярно посещаю, и я ожидаю, что они безопасны.
Хотя технически использовались эксплойты в обработке изображений и рендеринге XML и т. П., Для всех целей и задач в настоящее время существует три направления атаки: социальная инженерия (обман пользователя, получение пользователем запуска вредоносного файла), плагины (Flash) и JavaScript.
JavaScript напрямую позволяет выполнять инструкции, и это особенно плохо в случае с Internet Explorer из-за невероятно плохого решения и реализации элементов управления ActiveX в прошлом (хотя Microsoft улучшила это положение). Вам также не нужно обязательно заходить на теневые сайты, так как реклама размещается на JavaScript, и во многих случаях вредоносные объявления показывались на законных сайтах.
Краткий ответ: если вы собираетесь беспокоиться об угрозах, следует обратить внимание на три аспекта: Internet Explorer, Flash и JavaScript.
Очень мало компьютеров, если есть компьютеры, подключенные к Интернету, являются доказательством эксплойта. Не нужно было ни MeltDown, ни Spectre, чтобы получать вредоносную рекламу на вашем компьютере, это происходило с проверенных веб-сайтов, как это всегда было.
В 1990-х годах Netscape Navigator имел цифровую подпись javaScript, нам нужна улучшенная версия этого сейчас.
