- Дом.
JavaScript в большинстве своем является хорошей вещью, но он настолько гибкий и мощный, что держать его под контролем может быть непросто. Вот что вам нужно знать
Вы наверняка слышали, что JavaScript опасен. Отчасти это верно. JavaScript может быть опасен, если не принять надлежащих мер предосторожности. Его можно использовать для просмотра или кражи личных данных, даже не подозревая об этом. А поскольку JavaScript так широко распространен в Интернете, мы все уязвимы
Все сводится к тому, как JavaScript работает на самом деле. В большинстве своем JavaScript – хорошая вещь, но он настолько гибкий и мощный, что держать его под контролем может быть непросто. Вот что вам нужно знать
Преимущества JavaScript
Прежде всего, JavaScript – это хорошая вещь. По данным W3Techs, примерно 88,1% всех веб-сайтов так или иначе используют JavaScript. Большинство известных сайтов, таких как Amazon и YouTube, были бы не столь полезны, если бы Интернет был зоной, свободной от JavaScript
Например, JQuery – это популярная библиотека JavaScript, которая позволяет легко создавать интерактивные веб-сайты с элементами, которые могут меняться без перезагрузки всей страницы. Такие сайты, как Facebook и Twitter, полагаются на технологии AJAX, чтобы поддерживать веб-страницы в актуальном состоянии (например.временные метки, количество лайков и т.д.), не обновляя страницу каждую секунду
Но, как мы скоро увидим, JavaScript не совершенен. Им можно злоупотреблять, и это злоупотребление приводит к сценариям, позволяющим следить за вашей деятельностью в Интернете и нарушать вашу конфиденциальность
Один из распространенных, но ошибочных советов – полностью отключить JavaScript, но мы не рекомендуем этого делать. Вы лишитесь многих замечательных веб-функций, таких как функция ‘бесконечной прокрутки’, которая существует во многих блогах, социальных сетях и новостных сайтах
Более того, некоторые браузерные эксплойты все еще возможны, даже если вы отключите JavaScript. Таким образом, отключение JavaScript по соображениям безопасности – это все равно что надевать пузырчатый костюм каждый раз, когда вы выходите на улицу, потому что боитесь пораниться. Это не защитит вас от многого, но сделает вашу жизнь несчастной
Слежка за словами, которые вы набираете
В июле 2012 года пара исследователей отобрала данные 5 миллионов пользователей Facebook в Америке и Великобритании. Что они искали? Самоцензуру. Точнее, они хотели узнать, как часто пользователи начинают писать сообщение, но в итоге удаляют его до того, как оно будет опубликовано
Они сделали это, внедрив небольшой JavaScript, который отслеживал текстовые поля, где пользователи могли обновлять статус, писать комментарии на стене и т.д. Исследователи уточнили, что они регистрировали только ‘наличие или отсутствие введенного текста’, а не ‘нажатия клавиш или содержание’, но подтекст понятен
Можно было отслеживать нажатия клавиш и содержание. Они просто решили этого не делать
Эта идея пугает. Простой фрагмент встроенного JavaScript – это все, что нужно для записи любого вида активности на веб-странице – даже если вы на самом деле ничего не отправляете! Прокрутка веб-страницы, движения мыши, нажатия клавиш: все это может быть отслежено и записано против вашей воли или ведома
Отслеживание ваших привычек при просмотре сайтов
Возможности JavaScript по отслеживанию не ограничиваются текстовыми полями. С помощью волшебных куки-файлов компании могут хранить любую информацию о пользователе: тип браузера, предпочтения, местоположение и т.д. Утверждается, что такое отслеживание делается для того, чтобы предложить лучший пользовательский опыт (напр.релевантная реклама), но это все равно похоже на нарушение
Cookies являются постоянными, то есть они продолжают существовать даже после того, как вы покинете веб-страницу или закроете браузер (если срок их действия не истечет или вы не удалите их вручную). Видите ли вы растущую проблему? Если файл cookie сохраняется от веб-страницы к веб-странице, компания может узнать, какие веб-сайты вы посещаете
Это лучше всего объяснить на примере кнопок социальных акций. Рассмотрим кнопку Facebook Like, которая использует JavaScript для выполнения своего действия. Когда ваш браузер загружает страницу, он должен загрузить кнопку. Загрузка кнопки означает отправку запроса в Facebook на необходимый файл JavaScript. Этот запрос включает такие данные, как ваш IP-адрес, веб-страница, на которой вы находитесь, любые файлы cookie Facebook в вашей системе и т. д
Для ясности, вам не нужно нажимать на кнопку, чтобы она отслеживала вас. Для сбора данных о вас этим виджетам акций достаточно самого факта загрузки
Тем не менее, кнопки социальных акций – это лишь один из многих способов, с помощью которых компании могут отслеживать ваши привычки при просмотре сайтов. Другие примеры включают профили знакомств в Интернете, комментарии Disqus и сайты, использующие бесплатные веб-шрифты Google
Вредоносная инъекция кода
Одно из самых коварных применений JavaScript происходит в форме межсайтового скриптинга (XSS). Проще говоря, XSS – это уязвимость, которая позволяет хакерам внедрять вредоносный код JavaScript в легитимный сайт, который в конечном итоге выполняется в браузере пользователя, посетившего сайт
Если это происходит на сайте, который обрабатывает конфиденциальную информацию пользователя, например, финансовые данные, вредоносный код может потенциально подсмотреть и украсть эту информацию. Взятый на один шаг дальше, XSS может быть использован для распространения вирусов и вредоносных программ, что и произошло, когда Twitter был заражен червем StalkDaily
XSS также может использоваться для так называемого отравления поисковых систем. Короче говоря, создатели вредоносных программ могут использовать JavaScript для заражения сайтов с высоким рейтингом результатов поиска таким образом, что пользователи, пытающиеся посетить эти сайты, перенаправляются на сайты, зараженные вредоносным ПО
Существует также так называемая подделка межсайтовых запросов (CSRF), которая является обратной стороной XSS. Этот вид вредоносного кода JavaScript может использовать браузер пользователя, файлы cookie и разрешения безопасности для выполнения действий на отдельном сайте
Что вы можете сделать для защиты от атак на основе JavaScript?
В конечном счете, ответственность за чистоту и безопасность своих веб-сайтов лежит на веб-разработчиках. Однако, как конечный пользователь, вы должны всегда следить за обновлением своих браузеров и регулярно проверять их на наличие вредоносных программ
Вот что нужно делать в случае обнаружения вредоносного ПО в вашей системе
Тем не менее, я могу на пальцах одной руки сосчитать, сколько раз я сталкивался с вышеупомянутыми проблемами.JavaScript – важная часть современного веба. Он принес нам больше пользы, чем вреда, и он здесь, чтобы остаться. Хотите стать разработчиком JavaScript? Начните с этих бесплатных учебных ресурсов
Сталкивались ли вы когда-нибудь с проблемами JavaScript? Придерживаетесь ли вы безопасных привычек для обеспечения безопасности и конфиденциальности? Расскажите нам о своем опыте в комментариях ниже!
Кредиты изображений: Facebook Notifications Via Shutterstock, Typing Hands Via Shutterstock, Social Share Buttons Via Shutterstock
Комментировать