Reklāma
Jūs droši vien esat dzirdējuši, ka JavaScript ir bīstams. Nu, tas ir daļēji pareizi. JavaScript var būt bīstamam, ja netiek veikti atbilstoši piesardzības pasākumi. To var izmantot, lai skatītu vai nozagtu personas datus, pat nenojaušot, ka tas notiek. Un tā kā JavaScript visā tīmeklī ir tik izplatīts, mēs visi esam neaizsargāti.
Tas viss notiek līdz kā JavaScript faktiski darbojas Kas ir JavaScript un kā tas darbojas? [Tehnoloģiju skaidrojums] Lasīt vairāk . JavaScript lielākoties ir laba lieta, taču tā vienkārši ir tik elastīga un tik spēcīga, ka tās pārbaudīšana var būt sarežģīta. Lūk, kas jums jāzina.
JavaScript priekšrocības
Pirmkārt, JavaScript ir a laba lieta. Saskaņā ar W3Techs datiem, aptuveni 88,1% no visām vietnēm izmanto JavaScript vienā vai otrā veidā. Lielākā daļa lielo vietņu vietņu, piemēram, Amazon un YouTube, nekur nebūtu tik noderīgas, ja internets būtu zona, kurā nav JavaScript.
Piemēram, JQuery Web padarīšana par interaktīvu: ievads jQueryjQuery ir klienta puses skriptu bibliotēka, kuru izmanto gandrīz katra modernā vietne - tā padara vietnes interaktīvas. Tā nav vienīgā Javascript bibliotēka, taču tā ir visattīstītākā, visvairāk atbalstītā un visplašāk izmantotā ... Lasīt vairāk ir populāra JavaScript bibliotēka, kas ļauj ērti izveidot interaktīvas vietnes ar elementiem, kas var mainīties, nepārlādējot visu lapu. Vietnes, piemēram, Facebook un Twitter, paļaujas uz tādām tehnoloģijām kā AJAX jQuery apmācība (5. daļa): AJAX tie visi!Tuvojoties mūsu jQuery mini-apmācības sērijas beigām, ir pienācis laiks padziļināti apskatīt vienu no jQuery visbiežāk izmantotajām funkcijām. AJAX ļauj vietnei sazināties ar ... Lasīt vairāk atjaunināt tīmekļa lapas (piemēram, laika zīmogi, Patīk skaits utt.), katru sekundi neatsvaidzinot lapu.
Bet kā mēs drīz redzēsim, JavaScript nav perfekts. To var ļaunprātīgi izmantot, un ļaunprātīgas izmantošanas rezultātā rodas scenāriji, kas ļauj snaust informāciju par jūsu darbībām internetā un pārkāpj jūsu privātumu.
Viens izplatīts, tomēr kļūdains padoms ir pilnībā atspējot JavaScript, taču mēs to neiesakām. Jūs zaudētu daudz lielisku tīmekļa funkciju, piemēram, “bezgalīgas ritināšanas” funkciju, kas pastāv daudzos emuāros, sociālajos tīklos un ziņu vietnēs.
Bet vēl jo vairāk, daži pārlūkprogrammu izmantojumi joprojām ir iespējami, pat ja atspējojat JavaScript. Tādējādi JavaScript atspējošana drošības apsvērumu dēļ ir tāda pati kā burbuļtērpa nēsāšana katru reizi, dodoties ārpus mājas, jo baidāties ievainoties. Tas faktiski neaizsargās jūs no daudz, bet tas padarīs jūsu dzīvi nožēlojamu.
Snooping jūsu ievadītos vārdus
2012. gada jūlijā pāris pētnieku atlasīja datus no 5 miljoniem Facebook lietotāju Amerikā un Apvienotajā Karalistē. Ko viņi meklēja? Pašcenzūra. Precīzāk, viņi vēlējās uzzināt, cik bieži lietotāji sāk rakstīt ziņu, bet galu galā to izdzēš pirms tas faktiski tika ievietots.
Viņi to izdarīja, iestrādājot mazliet JavaScript, kas izsekoja tekstlodziņus, kur lietotāji varēja veikt statusa atjauninājumus, rakstīt sienas komentārus utt. Pētnieki skaidri pateica, ka viņi reģistrēja tikai “ievadītā teksta esamību vai neesamību”, nevis “taustiņu nospiedumus vai saturu”, bet netiešā nozīme ir skaidra.
Tas bija iespējams izsekot taustiņsitienus un saturu. Viņi vienkārši izvēlējās to nedarīt.
Šis jēdziens ir drausmīgs. Lai ievietotu jebkādas darbības tīmekļa vietnē, ir nepieciešams vienkāršs iegultas JavaScript fragments - pat ja jūs to faktiski neveicat Iesniegt jebkas! Tīmekļa ritināšana, peles kustības, taustiņsitieni: to visu var izsekot un reģistrēt pret jūsu gribu vai zināšanām.
Pārlūkošanas paradumu izsekošana
JavaScript izsekošanas iespējas neapstājas tikai pie tekstlodziņiem. Caur burvju pārlūka sīkfaili Kas ir sīkfails un kāds tam sakars ar manu privātumu? [MakeUseOf skaidrojumi]Lielākā daļa cilvēku zina, ka ir sīkdatnes, kas ir izkaisītas pa visu internetu, kuras ir gatavas un vēlas ēst tās, kuras var atrast pirmās. Pagaidi, ko? Tas nevar būt pareizi. Jā, ir sīkdatnes ... Lasīt vairāk , uzņēmumi var saglabāt visu veidu lietotājiem specifisko informāciju: pārlūka veidu, preferences, atrašanās vietu utt. Tiek apgalvots, ka šāda veida izsekošana tiek veikta, lai piedāvātu labāku lietotāja pieredzi (piemēram, atbilstošas reklāmas), taču tā joprojām jūtas kā pārkāpums.
Sīkfaili ir noturīgi, kas nozīmē, ka tie turpina pastāvēt pat pēc tam, kad izejat no tīmekļa lapas vai aizverat pārlūku (ja vien tie vairs nedarbojas vai tos manuāli izdzēšat). Vai redzat pieaugošo problēmu? Ja sīkdatne pastāv no vienas lapas uz citu, uzņēmums var redzēt, kuras vietnes apmeklējat.
Vislabāk to var izskaidrot ar piemēru: sociālo akciju pogas. Apsveriet pogu Facebook Patīk, kas savas darbības veikšanai izmanto JavaScript. Kad jūsu pārlūkprogramma ielādē lapu, tai ir jāielādē poga. Pogas ielāde nozīmē pieprasījuma Facebook izveidošanu nepieciešamajam JavaScript failam. Šajā pieprasījumā ir iekļauti tādi dati kā jūsu IP adrese, vietne, kurā atrodaties, visi Facebook sīkfaili jūsu sistēmā utt.
Vienkārši sakot, jums tas nav jādara klikšķis pogu, lai jūs varētu izsekot. Akts iekraušana ir pietiekami, lai šie kopīgošanas logrīki apkopotu datus par jums.
Tomēr sociālo akciju pogas ir tikai viena no daudzos veidos, kā uzņēmumi var izsekot jūsu pārlūkošanas paradumiem 4 šķietami nevainīgas tiešsaistes aktivitātes, kas izseko jūsu uzvedību Lasīt vairāk . Citi piemēri ir tiešsaistes iepazīšanās profili, Disqus komentāri un vietnes, kuras izmanto Google bezmaksas tīmekļa fonti Kā izmantot Google fontus nākamajā Web projektā un kāpēc tas jums būtu jādara?Fonta izvēle ir neatņemams dizaina lēmums jebkurā vietnē, tomēr lielāko daļu laika mēs esam apmierināti ar to pašu veco serifu un sans-serifu ģimeni. Kaut arī teksta pamattekstam vienmēr vajadzētu būt kaut kam ... Lasīt vairāk .
Ļaunprātīga koda ievadīšana
Viens no vis mānīgākajiem JavaScript lietojumiem notiek vietņu skriptu (XSS) veidā. Vienkārši sakot, XSS ir ievainojamība, kas ļauj hakeriem iegult ļaunprātīgu JavaScript kodu citādi likumīga vietne, kas galu galā tiek izpildīta tā lietotāja pārlūkprogrammā, kurš apmeklē vietni vietne.
Ja tas notiek vietnē, kurā tiek apstrādāta sensitīva informācija par lietotājiem, piemēram, finanšu dati, ļaunprātīgais kods, iespējams, varētu snoopēt un nozagt šo informāciju. Vienu soli tālāk, XSS var izmantot vīrusu un ļaunprātīgas programmatūras izplatīšanai, kas ir tas, kas notika, kad bija čivināt inficēti ar StalkDaily tārpu Kas ir vietņu skriptu (XSS) un kāpēc tas ir drošības drauds?Vietņu skriptu ievainojamība ir mūsdienās lielākā vietņu drošības problēma. Pētījumos atklāts, ka tās ir šokējoši izplatītas - saskaņā ar White Hat Security jaunāko ziņojumu, kas tika publicēts jūnijā, 55% vietņu 2011. gadā bija XSS ievainojamības ... Lasīt vairāk .
XSS var izmantot arī tā dēvētajam meklētājprogrammu saindēšanās Kas ir saindēšanās ar meklētājprogrammām un kā tā izplatās ļaunprogrammatūra [MakeUseOf Explains]Ja jūs domājāt, ka ļaunākās programmatūras uznirstošie logi un nerimstošais e-pasta surogātpasts ir vissliktākais no tā, padomājiet vēlreiz. Uz skatuves ir jauns sāncensis, un tuksneša karstumā tas izplata tādu ļaunprātīgu programmatūru kā sviests. To sauc par meklētājprogrammu ... Lasīt vairāk . Īsi sakot, ļaunprātīgas programmatūras veidotāji var izmantot JavaScript, lai inficētu vietnes ar augstu meklēšanas rezultātu klasifikāciju tādā veidā, ka lietotāji, kuri mēģina apmeklēt šīs vietnes, tiek novirzīti uz vietnēm, kas inficētas ar ļaunprātīgu programmatūru tā vietā.
Un tur ir kaut kas, ko sauc par vietņu pieprasījuma viltošanu (CSRF), kas ir XSS apgrieztais elements. Šāda veida ļaunprātīgs JavaScript kods var izmantot lietotāja pārlūkprogrammu, sīkfailus un drošības atļaujas, lai veiktu darbības atsevišķā vietnē.
Ko jūs varat darīt, lai aizsargātu pret uz JavaScript balstītiem uzbrukumiem?
Galu galā tīmekļa izstrādātāji ir atbildīgi par to, lai viņu vietnes būtu tīras un drošas. Tomēr kā galalietotājam jums vienmēr ir jāatjaunina pārlūkprogrammas un regulāri meklējiet ļaunprātīgu programmatūru Esiet aizsargāts no visa veida ļaunprātīgas programmatūras, izmantojot Avast Free AntivirusVisaptverošai aizsardzībai pret ļaunprātīgu programmatūru nav jāmaksā daudz laimes. Daudzas cienījamas bezmaksas pretvīrusu programmas ir tikpat efektīvas kā apmaksātās, turklāt avast! Bezmaksas pretvīrusu stendi ar labākajām Windows pretvīrusu programmām. Lasīt vairāk .
Lūk, ko darīt gadījumā, ja to darāt atrodiet ļaunprātīgu programmatūru savā sistēmā 10 soļi, kas jāveic, atklājot datorā ļaunprogrammatūruMēs vēlētos domāt, ka internets ir droša sava laika pavadīšanas vieta (klepus), bet mēs visi zinām, ka pastāv riski uz katra stūra. E-pasts, sociālie mediji, ļaunprātīgas vietnes, kas ir darbojušās ... Lasīt vairāk .
Tomēr, no vienas puses, es varu paļauties uz to, cik reizes esmu saskāries ar iepriekšminētajām problēmām. JavaScript ir svarīga mūsdienu tīmekļa sastāvdaļa. Tas mums ir darījis vairāk laba nekā slikts, un tas ir šeit, lai paliktu. Ieinteresēts kļūšana par JavaScript izstrādātāju Kura programmēšanas valoda jāapgūst - Web programmēšanaŠodien mēs apskatīsim dažādās tīmekļa programmēšanas valodas, kas darbina internetu. Šī ir ceturtā daļa iesācēju programmēšanas sērijā. 1. daļā mēs iemācījāmies ... Lasīt vairāk ? Sāciet ar šiem bezmaksas mācību resursi Sāciet kodēt JavaScript tūlīt, izmantojot šos 5 lieliskos bezmaksas resursus Lasīt vairāk .
Vai jums kādreiz ir radušās kādas JavaScript problēmas? Vai jūs praktizējat drošus ieradumus drošības un privātuma jomā? Pastāstiet mums par savu pieredzi zemāk esošajos komentāros!
Attēlu kredīti: Facebook paziņojumi, izmantojot Shutterstock, Rakstīt rokas, izmantojot Shutterstock, Sociālās akciju pogas caur Shutterstock
Džoelam Lī ir B.S. datorzinātnēs un vairāk nekā sešu gadu profesionālajā rakstīšanas pieredzē. Viņš ir MakeUseOf galvenais redaktors.