您可能听说过JavaScript很危险。好吧,这在一定程度上是正确的。如果不采取适当的预防措施,JavaScript 可能很危险。它甚至可以用于查看或窃取个人数据,甚至无需您意识到它正在发生。而且,由于JavaScript在网络上无处不在,因此我们都很脆弱。
这全都取决于JavaScript的实际工作方式。 JavaScript在大多数情况下是一件好事,但它恰恰是如此灵活和强大,以至于很难对其进行检查。这就是您需要了解的内容。
JavaScript的优点
首先,JavaScript是好东西。根据W3Techs的统计,大约88.1%的网站以一种或另一种方式使用JavaScript。如果互联网是一个不包含JavaScript的区域,那么大多数大牌网站(例如Amazon和YouTube)都将远没有用处。
例如,JQuery可以使网页保持最新(例如时间戳, #Likes等),而无需每秒刷新页面。
但是正如我们很快就会看到的那样,JavaScript并不完美。它可能会被滥用,并且滥用会导致出现可能窥探您的Internet活动并侵犯您的隐私的情况。
一个常见但被误导的建议是完全禁用JavaScript,但我们不这样做推荐它。您会迷失许多令人敬畏的Web功能,例如许多博客,社交网络和新闻站点中存在的“无限滚动"功能。
但是,更重要的是,一些浏览器漏洞仍然存在即使禁用JavaScript也可能。因此,出于安全考虑而禁用JavaScript就像每次出门都穿着泡泡服一样,因为您担心会受伤。它实际上并不能保护您太多,但会使您的生活痛苦不堪。
窥探您键入的单词
2012年7月,一对研究人员从500万中抽取了数据美国和英国的Facebook用户。他们在找什么?自我审查。更具体地说,他们想知道用户多久才会开始写一篇文章,而最终在真正发表之前删除它。
他们通过嵌入一些JavaScript来实现此目的,该JavaScript跟踪用户可以在其中创建文本框状态更新,写留言板评论等。研究人员明确表示,他们仅记录“输入的文本的存在与否",而不是“按键或内容",但含义很明显。
It是可能来跟踪击键和内容。他们只是选择不这样做。
这个概念很可怕。在网页上记录任何类型的活动所需的只是一小块嵌入式JavaScript,即使您实际上没有提交任何东西! Web滚动,鼠标移动,击键:可以根据您的意愿或知识来跟踪和记录所有内容。
跟踪您的浏览习惯
JavaScript的跟踪功能不仅会停止在文本框中。通过使用浏览器cookie的魔力,公司可以存储各种用户特定的信息:浏览器类型,首选项,位置等。声称这种跟踪是为了提供更好的用户体验(例如相关广告)而进行的,但是
Cookie是永久性的,这意味着即使您离开网页或关闭浏览器后,它们仍然继续存在(除非它们过期或您手动删除它们)。您是否看到了日益严重的问题?如果Cookie在各个网页之间持续存在,则公司可能会看到您访问的网站。
最好用一个示例来说明:社交共享按钮。考虑一下Facebook Like按钮,该按钮使用JavaScript来执行其操作。当浏览器加载页面时,它必须加载按钮。加载按钮意味着向Facebook请求必要的JavaScript文件。该请求包括您的IP地址,您所访问的网页,系统上的任何Facebook cookie等数据。
请注意,您无需点击用于跟踪您的按钮。 加载足以使这些共享小部件收集您的数据。
也就是说,社交共享按钮只是公司跟踪您的浏览习惯的众多方式之一。
恶意代码注入
JavaScript最阴险的用途之一是跨站点脚本(XSS)。简而言之,XSS是一个漏洞,允许黑客将恶意JavaScript代码嵌入到其他合法网站中,该网站最终会在访问该网站的用户的浏览器中执行。
如果此情况发生在在处理敏感的用户信息(例如财务数据)时,恶意代码可能会窥探并窃取该信息。更进一步,XSS可用于传播病毒和恶意软件,这是Twitter感染StalkDaily蠕虫时发生的情况。
XSS也可用于所谓的搜索引擎中毒。简而言之,恶意软件制造商可以使用JavaScript感染搜索结果排名较高的网站,从而将尝试访问这些网站的用户重定向到感染了恶意软件的网站。
然后有一种叫做跨站点请求伪造(CSRF),它是XSS的逆过程。这种恶意的JavaScript代码可以利用用户的浏览器,Cookie和安全权限,以在单独的网站上执行操作。
您可以采取什么措施来防范基于JavaScript的攻击?
最终,Web开发人员应承担责任,以确保他们的网站干净安全。但是,作为最终用户,您应该始终保持浏览器为最新,并定期扫描恶意软件。
如果在系统上发现恶意软件,这是要执行的操作。
话虽如此,我一方面可以指望遇到上述问题的次数。 JavaScript是现代网络的重要组成部分。它对我们的好处大于坏处,并且它将持续下去。有兴趣成为JavaScript开发人员。
您是否遇到过JavaScript问题?您是否在练习安全和隐私的安全习惯?在下面的评论中告诉我们您的经历!
图片来源:通过Shutterstock的Facebook通知,通过Shutterstock的手势输入,通过Shutterstock的社交分享按钮
标签: JavaScript 在线安全性
