3 façons JavaScript peut porter atteinte à votre vie privée et sécurité

JavaScript est une bonne chose pour la plupart, mais il arrive que ce soit si flexible et si puissant qu'il peut être difficile de le contrôler. Voici ce que vous devez savoir.

JavaScript est une bonne chose pour la plupart, mais il arrive que ce soit si flexible et si puissant qu'il peut être difficile de le contrôler.  Voici ce que vous devez savoir.
Publicité

Vous avez probablement entendu que JavaScript est dangereux. Eh bien, c'est en partie correct. JavaScript peut être dangereux si les précautions appropriées ne sont pas prises. Il peut être utilisé pour afficher ou voler des données personnelles sans même que vous réalisiez que cela se produit. Et puisque JavaScript est si omniprésent sur le Web, nous sommes tous vulnérables.

Tout se résume à la manière dont JavaScript fonctionne réellement. Qu'est-ce que JavaScript et comment ça marche? [Technologie expliquée] Qu'est-ce que JavaScript et comment ça marche? [Technologie expliquée] En savoir plus. JavaScript est une bonne chose pour la plupart, mais il arrive que ce soit si flexible et si puissant qu'il peut être difficile de le contrôler. Voici ce que vous devez savoir.

Les avantages de JavaScript

Tout d'abord, JavaScript est une bonne chose . Selon W3Techs, environ 88, 1% de tous les sites Web utilisent JavaScript d'une manière ou d'une autre. La plupart des grands sites - tels qu'Amazon et YouTube - seraient loin d'être aussi utiles si Internet était une zone sans JavaScript.

Par exemple, JQuery Rendre le Web interactif: Introduction à jQuery Rendre le Web interactif: Introduction à jQuery jQuery est une bibliothèque de scripts côté client que presque tous les sites Web modernes utilisent - elle rend les sites Web interactifs. Ce n'est pas la seule bibliothèque Javascript, mais c'est la plus développée, la plus supportée et la plus utilisée .... Read More est une librairie JavaScript populaire qui facilite la création de sites interactifs avec des éléments qui peuvent changer sans avoir à recharger page entière. Des sites comme Facebook et Twitter s'appuient sur des technologies comme AJAX jQuery Tutorial (Partie 5): AJAX Them All! Tutoriel jQuery (Partie 5): AJAX tous! Alors que nous approchons de la fin de notre série de mini-tutoriels jQuery, il est grand temps que nous examinions de plus près l'une des fonctionnalités les plus utilisées de jQuery. AJAX permet à un site Web de communiquer avec ... Lire la suite pour garder les pages Web à jour (p. Ex., Horodatages, nombre d'appuis, etc.) sans actualiser la page chaque seconde.

javascript-security-privacy-avantages

Mais comme nous le verrons bientôt, JavaScript n'est pas parfait. Il peut être abusé, et cet abus conduit à des scénarios qui permettent d'espionner votre activité sur Internet et de violer votre vie privée.

Un conseil commun mais malavisé est de désactiver entièrement JavaScript, mais nous ne le recommandons pas. Vous perdriez beaucoup de fonctionnalités Web impressionnantes, telles que la fonctionnalité de «défilement infini» qui existe sur de nombreux blogs, réseaux sociaux et sites d'actualités.

Mais plus encore, certains exploits de navigateur sont encore possibles, même si vous désactivez JavaScript. Ainsi, désactiver JavaScript en raison de problèmes de sécurité, c'est comme porter un costume à bulles à chaque fois que vous sortez parce que vous avez peur de vous blesser. Il ne vous protégera pas vraiment de beaucoup, mais cela rendra votre vie misérable.

Snooping les mots que vous tapez

En juillet 2012, deux chercheurs ont échantillonné des données provenant de 5 millions d'utilisateurs de Facebook en Amérique et au Royaume-Uni. Qu'est-ce qu'ils cherchaient? Auto-censure. Plus précisément, ils voulaient savoir à quelle fréquence les utilisateurs commençaient à écrire un post, mais finissaient par le supprimer avant qu'il ne soit publié.

Ils l'ont fait en intégrant un peu de JavaScript qui suivait les zones de texte où les utilisateurs pouvaient faire des mises à jour, écrire des commentaires muraux, etc. Les chercheurs ont clairement indiqué qu'ils enregistraient seulement "la présence ou l'absence de texte"., "Mais l'implication est claire.

javascript-security-privacy-dactylographie

Il était possible de suivre les frappes et le contenu. Ils ont juste choisi de ne pas le faire.

La notion est effrayante. Un simple morceau de JavaScript intégré est tout ce qui est nécessaire pour enregistrer tout type d'activité sur une page Web - même si vous ne soumettez rien! Le défilement du Web, les mouvements de la souris, les frappes: tout cela peut être suivi et enregistré contre votre volonté ou vos connaissances.

Suivi de vos habitudes de navigation

Les fonctionnalités de suivi de JavaScript ne s'arrêtent pas seulement aux zones de texte. Grâce à la magie des cookies du navigateur Qu'est-ce qu'un cookie et qu'est-ce que cela a à voir avec ma vie privée? [MakeUseOf explique] Qu'est-ce qu'un cookie et qu'est-ce que cela a à voir avec ma vie privée? [MakeUseOf Explains] La plupart des gens savent qu'il y a des cookies dispersés sur Internet, prêts et prêts à être mangés par ceux qui peuvent les trouver en premier. Attends quoi? Cela ne peut pas être juste. Oui, il existe des cookies ... Lire la suite, les entreprises peuvent stocker toutes sortes d'informations spécifiques à l'utilisateur: type de navigateur, préférences, emplacement, etc. L'affirmation est que ce type de suivi est effectué pour offrir une meilleure expérience utilisateur (par exemple annonces), mais il se sent toujours comme une violation.

Les cookies sont persistants, ce qui signifie qu'ils continuent d'exister même après avoir quitté la page Web ou fermé votre navigateur (à moins qu'ils n'expirent ou que vous les supprimiez manuellement). Voyez-vous le problème croissant? Si un cookie persiste depuis une page Web vers une page Web, il est possible pour une entreprise de voir les sites Web que vous visitez.

javascript-security-privacy-social

Ceci est mieux expliqué avec un exemple: boutons de partage social. Considérez le bouton Facebook Like, qui utilise JavaScript pour effectuer son action. Lorsque votre navigateur charge la page, il doit charger le bouton. Chargement du bouton signifie faire une demande à Facebook pour le fichier JavaScript nécessaire. Cette requête inclut des données telles que votre adresse IP, la page Web sur laquelle vous vous trouvez, les cookies Facebook sur votre système, etc.

Juste pour être clair, vous n'avez pas besoin de cliquer sur le bouton pour vous suivre. L'acte de chargement est suffisant pour que ces widgets partagent des données sur vous.

Cela étant dit, les boutons de partage social ne sont que l'une des nombreuses façons dont les entreprises peuvent suivre vos habitudes de navigation. 4 Activités en ligne apparemment innocentes qui suivent votre comportement 4 Activités en ligne apparemment inoffensives qui suivent votre comportement En savoir plus. D'autres exemples incluent des profils de rencontres en ligne, des commentaires Disqus et des sites Web qui utilisent les polices web gratuites de Google Comment utiliser Google Fonts dans votre prochain projet Web et pourquoi vous devriez utiliser Google Fonts dans votre prochain projet Web et pourquoi vous devriez décision de conception intégrale sur n'importe quel site Web, mais la plupart du temps nous nous contentons de la même vieille famille serif et sans-serif. Alors que le corps principal du texte devrait toujours être quelque chose ... Lire la suite.

Injection de code malveillant

L'une des utilisations les plus insidieuses de JavaScript se produit sous la forme de script intersite (XSS). En termes simples, XSS est une vulnérabilité qui permet aux pirates informatiques d'intégrer du code JavaScript malveillant dans un site Web légitime, qui est finalement exécuté dans le navigateur d'un utilisateur qui visite le site.

Si cela se produit sur un site Web qui traite des informations d'utilisateur sensibles, telles que des données financières, le code malveillant peut éventuellement intercepter et dérober ces informations. Poussé encore plus loin, XSS peut être utilisé pour proliférer des virus et des logiciels malveillants, ce qui s'est produit lorsque Twitter a été infecté par le ver StalkDaily. Qu'est-ce que le Cross-Site Scripting (XSS)? ), Et pourquoi il s'agit d'une menace de sécurité Les vulnérabilités de script intersite constituent aujourd'hui le plus gros problème de sécurité de site Web. Des études ont trouvé qu'ils sont extrêmement répandus - 55% des sites Web contenaient des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, publié en juin ... Lire la suite.

javascript-security-privacy-malveillant

XSS peut également être utilisé pour quelque chose appelé empoisonnement des moteurs de recherche Qu'est-ce que l'empoisonnement des moteurs de recherche et comment il répand les logiciels malveillants [MakeUseOf explique] Qu'est-ce que l'empoisonnement des moteurs de recherche est et comment il répand les logiciels malveillants [MakeUseOf Explains] pire encore, détrompez-vous. Il y a un nouveau concurrent sur scène et il répand des logiciels malveillants comme du beurre dans la chaleur du désert. C'est ce qu'on appelle le moteur de recherche ... Lire la suite. Pour résumer, les fabricants de logiciels malveillants peuvent utiliser JavaScript pour infecter des sites Web dont le classement des résultats de recherche est élevé, de sorte que les utilisateurs qui tentent de visiter ces sites sont redirigés vers des sites Web infestés de logiciels malveillants.

Et puis il y a ce qu'on appelle une falsification de requête inter-site (CSRF), qui est l'inverse d'un XSS. Ce type de code JavaScript malveillant peut exploiter le navigateur, les cookies et les autorisations de sécurité d'un utilisateur pour effectuer des actions sur un site Web distinct.

Que pouvez-vous faire pour protéger contre les attaques JavaScript?

En fin de compte, la responsabilité incombe aux développeurs Web de s'assurer que leurs sites Web sont propres et sécurisés. En tant qu'utilisateur final, cependant, vous devriez toujours garder vos navigateurs à jour et régulièrement rechercher des logiciels malveillants. Protégez-vous contre tous les types de logiciels malveillants grâce à Avast Free Antivirus Protégez-les de tous les types de logiciels malveillants grâce à Avast Free Antivirus pour coûter une fortune. Beaucoup de programmes antivirus gratuits de bonne réputation sont aussi efficaces que ceux payés, et avast! Free Antivirus est avec les meilleurs programmes antivirus Windows. Lire la suite .

Voici comment faire si vous trouvez des logiciels malveillants sur votre système 10 étapes à suivre lorsque vous découvrez des logiciels malveillants sur votre ordinateur 10 étapes à suivre lorsque vous découvrez des logiciels malveillants sur votre ordinateur Nous aimerions penser que l'Internet est un endroit sûr pour passer notre temps (toux), mais nous savons tous qu'il y a des risques dans tous les coins. Courriel, médias sociaux, sites Web malveillants qui ont travaillé ... Lisez plus.

Cela étant dit, je peux compter sur le nombre de fois que j'ai rencontré les problèmes ci-dessus. JavaScript est une partie importante du web moderne. Il a fait plus de bien pour nous que de mal et il est là pour rester. Intéressé à devenir un développeur JavaScript Quel langage de programmation à apprendre - Programmation Web Quel langage de programmation à apprendre - Programmation Web Aujourd'hui, nous allons jeter un oeil aux différents langages de programmation Web qui alimentent l'Internet. C'est la quatrième partie d'une série de programmation pour débutants. Dans la partie 1, nous avons appris la base de ... Lire la suite? Commencez avec ces ressources d'apprentissage gratuites Commencez à coder JavaScript dès maintenant avec ces 5 bonnes ressources gratuites Commencez à coder JavaScript dès maintenant avec ces 5 excellentes ressources gratuites Lisez plus.

Avez-vous déjà rencontré des problèmes JavaScript? Pratiquez-vous des habitudes sécuritaires pour la sécurité et la confidentialité? Parlez-nous de vos expériences dans les commentaires ci-dessous!

Crédits image: Notifications Facebook via Shutterstock, taper des mains Via Shutterstock, boutons de partage social Via Shutterstock

In this article