He visto este video, y lo que dice este chico es que
con javascript es fácil crear un gusano que roba tu información
también que javascript continuará ejecutándose incluso si cerraste la pestaña
del sitio infectado, en las otras pestañas. Incluso después de cerrar el navegador
se guardará solo en la memoria caché para cargarse la próxima vez que abra el navegador.
¿Son los javascripts realmente tan peligrosos? ¿Vale la pena usar NoScript?
Te perdiste un poco el punto del video. Su mensaje principal no es "Javascript es peligroso" es "¡Los servidores proxy anónimos son peligrosos!"
El ataque en el video que publicaste se basa principalmente en que el objetivo utilice un servidor proxy malicioso. Usar un servidor proxy es una elección consciente que el usuario hace, y usar una proxy que no es confiable es una muy mala idea. Un servidor proxy puede escuchar y manipular todo lo que lea (o publique) en la web. Eso también les da la capacidad de inyectar código Javascript en los sitios web y monitorear su actividad en ellos.
Cuando quieras estar a salvo del ataque presentado en ese video, no uses ningún servidor proxy que no sea operado por alguien en quien confíes, así de simple.
Pero comencemos con tu pregunta actual: "¿Javascript es peligroso por sí mismo?"
Cuando el motor de JavaScript de los navegadores funciona según lo diseñado , entonces Javascript es bastante seguro. Conceptualmente, Javascript no puede acceder a ninguna otra pestaña excepto a la que está incrustada. El JavaScript persistente que se ejecuta después de cerrar la pestaña también es imposible.
Sin embargo, todos los navegadores tenían errores en el pasado que podrían explotarse para anular algunas de estas restricciones en algunas circunstancias.
Con respecto a si o no usar NoScript es una opción: NoScript puede protegerlo de algunas vulnerabilidades basadas en el navegador, pero no de todas. Hay muchas otras vulnerabilidades que se dirigen a otros subsistemas del navegador. La principal motivación para usar NoScript es proteger su cordura de los sitios web que abusan de Javascript para publicidad inversa u otras molestias.
Javascript en sí mismo es simplemente un lenguaje de programación y no es inherentemente peligroso.
Sin embargo, la primera ley inmutable dice:
Ley # 1: si un malvado puede persuadirte de que ejecutes su programa en tu computadora, ya no es solo tu computadora.
Por lo tanto, es una buena regla general tener cuidado al ejecutar piezas de código arbitrarias que se encuentran en Internet. Los fabricantes de navegadores hacen todo lo posible para protegerlo de códigos maliciosos, pero no pueden detectar todo.
Puedes desactivar JavaScript (y Java, Flash, Silverlight, etc.) de manera muy simple, pero esto significa una experiencia mucho peor al usar Internet.
Por lo tanto, una solución como NoScript es un buen compromiso, que le permite habilitar de forma selectiva Javascript solo en los sitios web en los que confía.
Al igual que con todas las preguntas de seguridad, le toca a usted tomar una decisión informada sobre qué riesgo está dispuesto a aceptar y si el costo de un control como NoScript vale la pena.
Lea otras preguntas en las etiquetas javascript