Có thể bạn đã nghe nói rằng JavaScript rất nguy hiểm. Vâng, đó là một phần đúng. JavaScript có thể nguy hiểm nếu không thực hiện các biện pháp phòng ngừa thích hợp. Nó có thể được sử dụng để xem hoặc đánh cắp dữ liệu cá nhân mà bạn không hề nhận ra rằng điều đó đang xảy ra. Và vì JavaScript rất phổ biến trên web nên tất cả chúng ta đều dễ bị tổn thương
Tất cả bắt nguồn từ cách JavaScript thực sự hoạt động. Phần lớn JavaScript là một thứ tốt, nhưng nó rất linh hoạt và mạnh mẽ đến mức việc kiểm soát nó có thể khó khăn. Đây là những gì bạn cần biết
Lợi ích của JavaScript
Trước tiên, JavaScript là một thứ tốt. Theo W3Techs, khoảng 88. 1% tất cả các trang web sử dụng JavaScript theo cách này hay cách khác. Hầu hết các trang web có tên tuổi lớn - chẳng hạn như Amazon và YouTube - sẽ không còn hữu ích nếu Internet là vùng không có JavaScript
Ví dụ: JQuery là một thư viện JavaScript phổ biến giúp dễ dàng tạo các trang web tương tác với các phần tử có thể thay đổi mà không phải tải lại toàn bộ trang. Các trang web như Facebook và Twitter dựa vào các công nghệ như AJAX để luôn cập nhật các trang web [e. g. dấu thời gian, số lượt thích, v.v. ] mà không làm mới trang mỗi giây
Nhưng như chúng ta sẽ sớm thấy, JavaScript không hoàn hảo. Nó có thể bị lạm dụng và việc lạm dụng đó dẫn đến các tình huống khiến nó có thể rình mò hoạt động trên Internet của bạn và vi phạm quyền riêng tư của bạn
Một lời khuyên phổ biến nhưng sai lầm là tắt hoàn toàn JavaScript nhưng chúng tôi không khuyến nghị điều đó. Bạn sẽ đánh mất rất nhiều chức năng web tuyệt vời, chẳng hạn như tính năng "cuộn vô hạn" tồn tại trên nhiều blog, mạng xã hội và trang tin tức
Nhưng hơn thế nữa, một số khai thác trình duyệt vẫn có thể xảy ra ngay cả khi bạn tắt JavaScript. Do đó, vô hiệu hóa JavaScript vì lo ngại về bảo mật giống như mặc một bộ đồ bong bóng mỗi khi bạn ra ngoài vì bạn sợ bị tổn thương. Nó sẽ không thực sự bảo vệ bạn khỏi nhiều thứ, nhưng nó sẽ khiến cuộc sống của bạn trở nên khốn khổ
Rình mò Những từ bạn nhập
Vào tháng 7 năm 2012, một cặp nhà nghiên cứu đã lấy mẫu dữ liệu từ 5 triệu người dùng Facebook ở Mỹ và Vương quốc Anh. Họ đang tìm kiếm cái gì? . Cụ thể hơn, họ muốn biết tần suất người dùng bắt đầu viết một bài đăng nhưng cuối cùng lại xóa nó trước khi nó thực sự được đăng.
Họ đã làm điều này bằng cách nhúng một chút JavaScript theo dõi các hộp văn bản nơi người dùng có thể cập nhật trạng thái, viết bình luận trên tường, v.v. Các nhà nghiên cứu đã nói rõ rằng họ chỉ ghi lại "sự hiện diện hay vắng mặt của văn bản đã nhập" chứ không phải "tổ hợp phím hoặc nội dung", nhưng hàm ý rất rõ ràng
Có thể theo dõi tổ hợp phím và nội dung. Họ chỉ chọn không
Khái niệm là một điều đáng sợ. Một đoạn JavaScript nhúng đơn giản là tất cả những gì cần thiết để ghi lại bất kỳ loại hoạt động nào trên trang web — ngay cả khi bạn không thực sự gửi bất kỳ thứ gì. Cuộn trang web, di chuyển chuột, tổ hợp phím. tất cả đều có thể được theo dõi và ghi lại theo ý muốn hoặc kiến thức của bạn
Theo dõi thói quen duyệt web của bạn
Khả năng theo dõi của JavaScript không chỉ dừng lại ở hộp văn bản. Thông qua sự kỳ diệu của cookie trình duyệt, các công ty có thể lưu trữ tất cả các loại thông tin cụ thể của người dùng. loại trình duyệt, tùy chọn, vị trí, v.v. Tuyên bố là loại theo dõi này được thực hiện để mang lại trải nghiệm người dùng tốt hơn [e. g. quảng cáo có liên quan], nhưng nó vẫn cảm thấy như vi phạm
Cookie tồn tại liên tục, nghĩa là chúng tiếp tục tồn tại ngay cả sau khi bạn rời khỏi trang web hoặc đóng trình duyệt của mình [trừ khi chúng hết hạn hoặc bạn xóa chúng theo cách thủ công]. Bạn có thấy vấn đề ngày càng tăng?
Điều này được giải thích tốt nhất với một ví dụ. nút chia sẻ xã hội. Hãy xem xét nút Like của Facebook sử dụng JavaScript để thực hiện hành động của nó. Khi trình duyệt của bạn tải trang, nó phải tải nút. Tải nút có nghĩa là yêu cầu Facebook cung cấp tệp JavaScript cần thiết. Yêu cầu đó bao gồm dữ liệu như địa chỉ IP của bạn, trang web bạn đang truy cập, mọi cookie của Facebook trên hệ thống của bạn, v.v.
Nói rõ hơn, bạn không cần nhấp vào nút để nó theo dõi bạn. Hành động tải là đủ để các tiện ích chia sẻ này thu thập dữ liệu về bạn
Điều đó đang được nói, các nút chia sẻ trên mạng xã hội chỉ là một trong nhiều cách mà các công ty có thể theo dõi thói quen duyệt web của bạn. Các ví dụ khác bao gồm hồ sơ hẹn hò trực tuyến, nhận xét Disqus và các trang web sử dụng phông chữ web miễn phí của Google
Chèn mã độc hại
Một trong những cách sử dụng JavaScript xảo quyệt nhất xảy ra ở dạng kịch bản chéo trang [XSS]. Nói một cách đơn giản, XSS là một lỗ hổng cho phép tin tặc nhúng mã JavaScript độc hại vào một trang web hợp pháp khác, mã này cuối cùng được thực thi trong trình duyệt của người dùng truy cập trang web
Nếu điều này xảy ra trên một trang web xử lý thông tin nhạy cảm của người dùng, chẳng hạn như dữ liệu tài chính, thì mã độc có thể rình mò và đánh cắp thông tin đó. Tiến thêm một bước nữa, XSS có thể được sử dụng để phát triển vi-rút và phần mềm độc hại, đó là điều đã xảy ra khi Twitter bị nhiễm sâu StalkDaily
XSS cũng có thể được sử dụng cho một thứ gọi là đầu độc công cụ tìm kiếm. Tóm lại, những kẻ tạo ra phần mềm độc hại có thể sử dụng JavaScript để lây nhiễm các trang web có thứ hạng kết quả tìm kiếm cao theo cách mà người dùng cố gắng truy cập các trang web đó sẽ được chuyển hướng đến các trang web bị nhiễm phần mềm độc hại.
Và sau đó, có một thứ được gọi là giả mạo yêu cầu trên nhiều trang web [CSRF], ngược lại với XSS. Loại mã JavaScript độc hại này có thể khai thác trình duyệt, cookie và quyền bảo mật của người dùng để thực hiện các hành động trên một trang web riêng biệt
Bạn có thể làm gì để bảo vệ chống lại các cuộc tấn công dựa trên JavaScript?
Cuối cùng, trách nhiệm thuộc về các nhà phát triển web để đảm bảo trang web của họ sạch sẽ và an toàn. Tuy nhiên, với tư cách là người dùng cuối, bạn phải luôn cập nhật trình duyệt của mình và thường xuyên quét phần mềm độc hại
Đây là những việc cần làm trong trường hợp bạn tìm thấy phần mềm độc hại trên hệ thống của mình
Điều đó đang được nói, tôi có thể đếm trên một bàn tay số lần tôi gặp phải các vấn đề trên. JavaScript là một phần quan trọng của web hiện đại. Nó đã mang lại nhiều điều tốt cho chúng ta hơn là điều xấu và nó sẽ ở đây để tồn tại. Quan tâm đến việc trở thành một nhà phát triển JavaScript?
Bạn đã bao giờ gặp phải bất kỳ sự cố JavaScript nào chưa?
Tín dụng hình ảnh. Thông báo trên Facebook qua Shutterstock, Bàn tay gõ qua Shutterstock, Nút chia sẻ xã hội qua Shutterstock