Reklama
Prawdopodobnie słyszałeś, że JavaScript jest niebezpieczny. Cóż, to częściowo poprawne. JavaScript mogą być niebezpieczne, jeśli nie zostaną podjęte odpowiednie środki ostrożności. Można go używać do przeglądania lub kradzieży danych osobowych, nawet nie zdając sobie sprawy, że tak się dzieje. A ponieważ JavaScript jest tak wszechobecny w Internecie, wszyscy jesteśmy podatni na ataki.
Wszystko sprowadza się do jak faktycznie działa JavaScript Co to jest JavaScript i jak to działa? [Technologia wyjaśniona] Czytaj więcej . JavaScript jest w większości dobrą rzeczą, ale okazuje się, że jest tak elastyczny i potężny, że utrzymanie go pod kontrolą może być trudne. Oto, co musisz wiedzieć.
Korzyści z JavaScript
Po pierwsze, JavaScript to dobra rzecz. Według W3Techs około 88,1% wszystkich stron internetowych używa JavaScript w ten czy inny sposób. Większość znanych witryn - takich jak Amazon i YouTube - nie byłaby tak przydatna, gdyby Internet był strefą wolną od JavaScript.
Na przykład, JQuery
Interaktywność sieci: wprowadzenie do jQueryjQuery to biblioteka skryptów po stronie klienta, z której korzysta prawie każda nowoczesna strona internetowa - sprawia, że strony internetowe są interaktywne. To nie jedyna biblioteka JavaScript, ale jest to najbardziej rozwinięta, najbardziej obsługiwana i najczęściej używana ... Czytaj więcej to popularna biblioteka JavaScript, która ułatwia tworzenie interaktywnych stron internetowych z elementami, które można zmieniać bez konieczności ponownego ładowania całej strony. Strony takie jak Facebook i Twitter polegają na takich technologiach AJAX Samouczek jQuery (część 5): AJAX Them All!Gdy zbliżamy się do końca naszej serii mini-samouczków jQuery, najwyższy czas przyjrzeć się dokładniej jednej z najczęściej używanych funkcji jQuery. AJAX pozwala stronie komunikować się z ... Czytaj więcej aby aktualizować strony internetowe (np. znaczniki czasu, liczba polubień itp.) bez odświeżania strony co sekundę.
Ale jak się wkrótce przekonamy, JavaScript nie jest doskonały. Może być nadużywane, a nadużycia prowadzą do scenariuszy, które umożliwiają szpiegowanie Twojej aktywności w Internecie i naruszają twoją prywatność.
Jedną z powszechnych, ale mylących wskazówek jest całkowite wyłączenie JavaScript, ale nie zalecamy tego. Tracisz wiele wspaniałych funkcji internetowych, takich jak funkcja „nieskończonego przewijania”, która istnieje w wielu blogach, sieciach społecznościowych i serwisach z wiadomościami.
Co więcej, niektóre exploity przeglądarki są nadal możliwe, nawet jeśli wyłączysz JavaScript. Dlatego wyłączenie JavaScript ze względów bezpieczeństwa przypomina noszenie kombinezonu z bąbelkami za każdym razem, gdy wychodzisz na zewnątrz, bo boisz się zranienia. W rzeczywistości nie ochroni cię przed wieloma, ale sprawi, że twoje życie będzie nieszczęśliwe.
Szpiegowanie słów, które wpisujesz
W lipcu 2012 r. Para naukowców pobrała próbki danych od 5 milionów użytkowników Facebooka w Ameryce i Wielkiej Brytanii. Czego szukali? Autocenzura. Mówiąc dokładniej, chcieli wiedzieć, jak często użytkownicy zaczynają pisać post, ale w końcu go usuwają zanim został opublikowany.
Zrobili to, osadzając trochę kodu JavaScript, który śledził pola tekstowe, w których użytkownicy mogli aktualizować status, pisać komentarze na ścianie itp. Badacze wyjaśnili, że rejestrowali tylko „obecność lub brak wprowadzonego tekstu”, a nie „naciśnięcia klawiszy lub treść”, ale implikacja jest jasna.
To było możliwy do śledzenia naciśnięć klawiszy i treści. Po prostu nie chcieli.
Pojęcie to jest przerażające. Prosta część wbudowanego JavaScript jest wszystkim, co jest potrzebne do rejestrowania wszelkiego rodzaju aktywności na stronie internetowej - nawet jeśli tak naprawdę Zatwierdź byle co! Przewijanie stron internetowych, ruchy myszy, naciśnięcia klawiszy: wszystko to można śledzić i nagrywać wbrew woli lub wiedzy.
Śledzenie nawyków przeglądania
Możliwości śledzenia JavaScript nie ograniczają się tylko do pól tekstowych. Poprzez magię pliki cookie przeglądarki Co to jest plik cookie i co ma wspólnego z moją prywatnością? [MakeUseOf wyjaśnia]Większość ludzi wie, że w Internecie są porozrzucane ciasteczka, gotowe i chętne do zjedzenia przez każdego, kto je pierwszy znajdzie. Czekaj, co? To nie może być prawda. Tak, są pliki cookie ... Czytaj więcej , firmy mogą przechowywać wszelkiego rodzaju informacje specyficzne dla użytkownika: typ przeglądarki, preferencje, lokalizację itp. Twierdzenie polega na tym, że tego rodzaju śledzenie ma na celu zapewnienie lepszego komfortu użytkowania (np. Trafne reklamy), ale nadal wydaje się naruszeniem.
Pliki cookie są trwałe, co oznacza, że nadal istnieją nawet po opuszczeniu strony internetowej lub zamknięciu przeglądarki (chyba że wygasną lub zostaną usunięte ręcznie). Czy widzisz rosnący problem? Jeśli plik cookie będzie się powtarzał między stronami, firma może sprawdzić, które witryny odwiedzasz.
Można to najlepiej wyjaśnić przykładem: przyciski udostępniania w serwisach społecznościowych. Rozważ przycisk Lubię to na Facebooku, który używa JavaScript do wykonywania swoich działań. Gdy przeglądarka ładuje stronę, musi załadować przycisk. Załadowanie przycisku oznacza wysłanie prośby do Facebooka o niezbędny plik JavaScript. To żądanie obejmuje dane takie jak adres IP, strona internetowa, na której się znajdujesz, wszelkie pliki cookie Facebooka w twoim systemie itp.
Żeby było jasne, nie musisz Kliknij przycisk do śledzenia cię. Akt Ładowanie wystarczy, aby te widżety udostępniania gromadziły dane na Twój temat.
Biorąc to pod uwagę, przyciski udostępniania społecznościowego są tylko jednym z nich na wiele sposobów firmy mogą śledzić twoje nawyki przeglądania 4 Pozornie niewinne działania online, które śledzą twoje zachowanie Czytaj więcej . Inne przykłady obejmują profile randkowe online, komentarze Disqus i strony internetowe, z których korzystają Darmowe czcionki internetowe Google Jak korzystać z czcionek Google w następnym projekcie internetowym i dlaczego wartoWybór czcionki jest integralną decyzją projektową na każdej stronie internetowej, ale przez większość czasu jesteśmy zadowoleni z tej samej starej rodziny serif i sans-serif. Chociaż głównym tekstem zawsze powinno być coś ... Czytaj więcej .
Wstrzyknięcie złośliwego kodu
Jedno z najbardziej podstępnych zastosowań JavaScript ma postać skryptów cross-site scripting (XSS). Mówiąc najprościej, XSS jest podatnością, która pozwala hakerom osadzać złośliwy kod JavaScript w pliku w innym przypadku uzasadniona strona internetowa, która ostatecznie jest uruchamiana w przeglądarce użytkownika, który odwiedza teren.
Jeśli dzieje się tak na stronie internetowej, która obsługuje poufne informacje o użytkowniku, takie jak dane finansowe, złośliwy kod może potencjalnie wykryć i ukraść te informacje. Idąc o krok dalej, XSS może być wykorzystywany do rozprzestrzeniania wirusów i złośliwego oprogramowania, tak jak miało to miejsce w czasach Twittera zainfekowany robakiem StalkDaily Co to jest skrypty między witrynami (XSS) i dlaczego stanowi zagrożenie dla bezpieczeństwaLuki w skryptach między witrynami stanowią obecnie największy problem bezpieczeństwa witryny. Badania wykazały, że są one szokująco częste - zgodnie z najnowszym raportem White Hat Security opublikowanym w czerwcu w czerwcu... 55% stron zawierało luki XSS w 2011 roku ... Czytaj więcej .
XSS może być również używany do czegoś zwanego zatrucie wyszukiwarek Co to jest zatrucie w wyszukiwarkach i jak rozprzestrzenia się złośliwe oprogramowanie [MakeUseOf wyjaśnia]Jeśli uważasz, że wyskakujące okienka ze złośliwym oprogramowaniem i nieustający spam e-mail były najgorsze, pomyśl jeszcze raz. Na scenie pojawia się nowy pretendent, który rozprzestrzenia złośliwe oprogramowanie, takie jak masło, w pustynnym upale. Nazywa się to wyszukiwarką ... Czytaj więcej . Krótko mówiąc, twórcy szkodliwego oprogramowania mogą wykorzystywać JavaScript do infekowania stron internetowych z wysokimi rankingami wyników wyszukiwania w taki sposób, że użytkownicy, którzy próbują odwiedzić te witryny, są przekierowywani na witryny zainfekowane złośliwym oprogramowaniem zamiast.
Jest też coś, co nazywa się fałszowaniem żądań między witrynami (CSRF), co jest odwrotnością XSS. Ten rodzaj złośliwego kodu JavaScript może wykorzystywać przeglądarkę użytkownika, pliki cookie i uprawnienia bezpieczeństwa w celu wykonywania działań na osobnej stronie internetowej.
Co możesz zrobić, aby chronić się przed atakami opartymi na JavaScript?
Ostatecznie odpowiedzialność spoczywa na twórcach stron internetowych, aby upewnić się, że ich strony internetowe są czyste i bezpieczne. Jednak jako użytkownik końcowy zawsze powinieneś aktualizować swoje przeglądarki i regularnie skanuj w poszukiwaniu złośliwego oprogramowania Zachowaj ochronę przed każdym rodzajem złośliwego oprogramowania dzięki oprogramowaniu antywirusowemu Avast FreeKompleksowa ochrona przed złośliwym oprogramowaniem nie musi kosztować fortuny. Wiele renomowanych darmowych programów antywirusowych jest równie skutecznych jak programy płatne i avast! Darmowy program antywirusowy to najlepsze programy antywirusowe dla systemu Windows. Czytaj więcej .
Oto co możesz zrobić na wypadek, gdybyś to zrobił znajdź złośliwe oprogramowanie w swoim systemie 10 kroków, które należy podjąć po wykryciu złośliwego oprogramowania na komputerzeChcielibyśmy myśleć, że Internet jest bezpiecznym miejscem do spędzania czasu (kaszel), ale wszyscy wiemy, że za każdym rogiem istnieje ryzyko. E-mail, media społecznościowe, złośliwe strony internetowe, które działały ... Czytaj więcej .
Biorąc to pod uwagę, mogę liczyć na jedną rękę, ile razy napotkałem powyższe problemy. JavaScript jest ważną częścią nowoczesnej sieci. Zrobił dla nas więcej dobra niż zła i już tu zostanie. Zainteresowany zostać programistą JavaScript Jakiego języka programowania się uczyć - programowanie siecioweDzisiaj przyjrzymy się różnym językom programowania sieci, które napędzają Internet. To czwarta część serii dla początkujących. W części 1 poznaliśmy podstawy ... Czytaj więcej ? Zacznij z nimi bezpłatne zasoby edukacyjne Zacznij kodować JavaScript już teraz dzięki tym 5 świetnym darmowym zasobom Czytaj więcej .
Czy kiedykolwiek miałeś problemy z JavaScript? Czy praktykujesz bezpieczne nawyki bezpieczeństwa i prywatności? Opowiedz nam o swoich doświadczeniach w komentarzach poniżej!
Kredyty obrazkowe: Powiadomienia z Facebooka za pośrednictwem Shutterstock, Pisanie na maszynie przez Shutterstock, Przyciski akcji społecznościowych za pośrednictwem Shutterstock
Joel Lee ma tytuł licencjata w informatyce i ponad sześć lat doświadczenia zawodowego w pisaniu. Jest redaktorem naczelnym MakeUseOf.