¿Qué tan grande es el riesgo, para habilitar las secuencias de comandos en el navegador web?

Definitivamente existe un riesgo: las secuencias de comandos esencialmente permiten la ejecución de código en el navegador. Las vulnerabilidades van desde la lectura del historial de su navegador hasta la instalación de malware hasta la suplantación de identidad (phishing) de sus credenciales bancarias, cada una de las cuales puede causar "daños" de alguna manera.

Sin embargo, dado que la mayoría de los sitios web de hoy en día se basan en scripts, hay una gran pérdida en desactivar los scripts, e incluso el sitio ya no aparece en su navegador. Desactivar las secuencias de comandos tampoco protege contra otras formas en que le pueden pasar cosas malas a su computadora, por lo que el retorno de los inconvenientes no es increíblemente alto.

Probablemente, el uso más común de las secuencias de comandos es el análisis, que permite al webmaster de ese sitio obtener información sobre quién está accediendo a qué páginas, lo que potencialmente mejora el flujo del sitio y la información presentada. Sin embargo, la otra cara de la analítica es la publicidad dirigida, que permite a los anunciantes seguir a los usuarios en múltiples sitios.

La mayoría de los scripts en los sitios web son "mayormente" inofensivos, al igual que la mayoría de los programas que están disponibles son "mayormente" inofensivos. La gente de seguridad se centra en el lado malintencionado de las cosas y vuelve a aprender continuamente que existe un equilibrio entre la facilidad de uso y la seguridad.

Lo que hago personalmente es usar Firefox con los complementos NoScript y Ghostery. Entre esos dos, especialmente NoScript, se reduce considerablemente la posibilidad de que se inyecten scripts en la página que estoy viendo. Todavía espero que me apaguen en algún momento, pero las herramientas que tengo harán un trabajo razonable para mantenerme al tanto de lo que está sucediendo mientras siga prestando atención.

Hoy en día, muchos sitios requieren scripts habilitados, de lo contrario, el usuario podría tener problemas con la facilidad de uso y la funcionalidad general del sitio. Claro, puedes deshabilitar JavaScript, por ejemplo, pero incluso eso no impide que se explote por completo. También necesitarías deshabilitar Java, Flash, ¿qué más hay como complementos y funcionalidad adicional? Pero eso haría al navegador bastante inútil hoy. En los últimos tiempos, en los navegadores modernos, vienen soluciones integradas que deberían aumentar la seguridad, como IE, anti-XSS . Para Firefox hay una extensión conocida " NoScript " que permite administrar la lista de sitios que permite JavaScript / Flash / Java. Pero incluso estas medidas preventivas no son suficientes, se han evitado y quién sabe cuándo la próxima vez. En estos días deberías tener cuidado. En mi opinión, la mejor solución es navegar por Internet desde la caja de Linux dentro de la máquina virtual. Pero eso viene en el costo de la comodidad.

Man-in-the-the-browser es el riesgo número uno. Yo diría que habilitar la entrega de malware más eficiente es secundario.

Cosas como el marco de explotación del navegador (BeEF) - enlace - deberían proporcionar una mejor explicación a través de sus implementaciones .

Si la facilidad de uso se reduce a cero, las personas encontrarán una manera de evitar el bloqueo anti-scripting. Como se mencionó anteriormente, NoScript es un complemento realmente bueno para permitir que ciertos sitios ejecuten scripts.

Las descargas no autorizadas son probablemente un riesgo mucho mayor para usuarios no sofisticados. No necesita ningún script para mostrarle al usuario un reproductor de medios flash falso que dice "actualización requerida" y cuando el usuario hace clic en el "botón de reproducción" falso, descarga el malware que instala. Juego terminado.

Y flash ha tenido una serie de desbordamientos de búfer y vulnerabilidades.