Webブラウザーでスクリプトを有効にするリスクはどのくらいですか?
多くのWebサイトは、Webの閲覧中に、ユーザーに気付かれずに実行されるスクリプト(主にJavaScript)を実行します。スクリプティングを有効にしてサーフィン中にマルウェアに気付かれないようにするリスクはどのくらいですか?どのくらい詳しく説明すると、CSSや画像などの他のコンテンツよりも、ブラウザでのスクリプト作成に問題がありますか?これらの問題は何ですか?
間違いなくリスクがあります-スクリプトは基本的にブラウザでのコードの実行を許可します。脆弱性の範囲は、ブラウザの履歴の読み取りからマルウェアのインストール、銀行の資格情報のフィッシングまで、さまざまな方法で「害」を及ぼす可能性があります。
ただし、今日のほとんどのWebサイトはスクリプトに依存しているため、スクリプトをオフにすると、ブラウザーにサイトが表示されなくなるまで、大きな損失が生じます。また、スクリプトをオフにしても、コンピューターに悪いことが発生する他の方法からは保護されません。そのため、不便さに対する利益はそれほど高くありません。
おそらくスクリプトの最も一般的な使用法は分析です。これにより、そのサイトのWebマスターは誰がどのページにアクセスしているかに関する情報を取得できるため、サイトのフローと表示される情報が改善される可能性があります。ただし、分析の裏側はターゲット広告であり、これにより広告主は複数のサイトにわたってユーザーを追跡できます。
利用可能なソフトウェアの大部分が「ほとんど」無害であるのと同様に、ウェブサイト上のスクリプトの大部分は「ほとんど」無害です。セキュリティ担当者は物事の悪意のある側面に焦点を当て、ユーザビリティとセキュリティの間にはトレードオフがあることを継続的に再学習します。
私が個人的にしていることは、アドオンのNoScriptとGhosteryでFirefoxを使用することです。この2つの間、特にNoScriptの場合、表示しているページにスクリプトが挿入される可能性が大幅に減少します。私はまだいつか仕掛けられると予想していますが、私が持っているツールは、注意を払い続けている限り、何が起こっているのかを私に知らせておくための合理的な仕事をします。
今日、多くのサイトではスクリプティングを有効にする必要があります。そうしないと、ユーザビリティとサイト全体の機能に問題が発生する可能性があります。もちろん、たとえばJavaScriptを無効にすることもできますが、それでも悪用を完全に防ぐことはできません。また、Java、Flash、プラグインおよび追加機能として他に何があるかを無効にする必要があります。しかし、それは今日ブラウザを全く役に立たなくするでしょう。最近のブラウザーには、IEのように、セキュリティを向上させる組み込みのソリューションが用意されています Chromeの反XSS 。 Firefoxには、JavaScript/Flash/Javaを許可するサイトのリストを管理できる、よく知られた拡張 " NoScript "があります。しかし、これらの予防策でさえ十分ではありません-彼らは迂回されており、誰が次回またいつかを知っています。このごろあなたは気をつけるべきです。私の考えでは、最良の解決策は、仮想マシン内のLinuxボックスからインターネットをサーフィンすることです。しかし、これには快適さの代償が伴います。
ブラウザー内での作業が最大のリスクです。より効率的なマルウェア配信を可能にすることは二次的なことだと思います。
Browser Exploitation Framework(BeEF)- http://www.bindshell.net/tools/beef/ -のようなものは、その実装を通じてより良い説明を提供するはずです。
ユーザビリティがゼロになると、人々はあなたのアンチスクリプトのロックダウンを回避する方法を見つけるでしょう。前述のように、NoScriptは、特定のサイトでスクリプトを実行できるようにするための本当に素晴らしいプラグインです。
ドライブバイダウンロードは、洗練されていないユーザーにとっておそらくはるかに大きなリスクです。 「アップグレードが必要です」という偽のフラッシュメディアプレーヤーをユーザーに表示するためのスクリプトは必要ありません。ユーザーが偽の「再生ボタン」をクリックすると、インストールされたマルウェアがダウンロードされます。ゲームオーバー。
また、フラッシュには多数のバッファオーバーフローと脆弱性があります。