Recuerdo los momentos en que el uso de Javascript era tan inocente; una pequeña ventana emergente aquí, un mensaje de diálogo allí.
Hoy en día, Javascript "roba" datos al explotar vulnerabilidades en navegadores "maduros" como Firefox (antes de la versión 39.0.3), y pone al mundo en alerta.
La vulnerabilidad proviene de la interacción del mecanismo que impone la separación del contexto de JavaScript (la "política del mismo origen") y el Visor de PDF de Firefox. Los productos Mozilla que no contienen el Visor de PDF, como Firefox para Android, no son vulnerables. La vulnerabilidad no permite la ejecución de código arbitrario, pero la vulnerabilidad pudo inyectar una carga útil de JavaScript en el contexto del archivo local. Esto le permitió buscar y cargar archivos locales potencialmente sensibles.
O simplemente visitando un sitio web, obtienes un malware como regalo:
Puede contraer un virus simplemente visitando un sitio en Chrome o en cualquier otro navegador, sin que sea necesaria la interacción del usuario. Incluso con Chrome, no está 100% seguro, y probablemente nunca lo estará con ningún navegador, pero Chrome se está acercando y la comunidad de investigación de seguridad parece estar de acuerdo en que en este momento, es el navegador más seguro que puede usar .
- En base a eso, me pregunto si JavaScript es demasiado peligroso para usarlo en los navegadores o si los navegadores en sí son demasiado inseguros.
- ¿Sería posible limitar lo que JavaScript puede hacer desde una perspectiva de configuración del navegador (por ejemplo, iniciar automáticamente una descarga o referencias a scripts en otros dominios [amenaza alta])?