elmex hat geschrieben:@nerd, nein habe ich nicht verwechselt. Schau hier:
Oh je! Eine 10 jahre alte grafik, auf der javascript ueberhaupt nicht erwaehnt wird, und der rest sind tote technologien wie ActiveX, Flash, Quicktime und Java Applets die auf modernen browsern sowieso per default abgeschalten oder nicht mehr unterstuetzt werden...
08/15 "it sicherheits" gewaesch von vor 10 jahren welches wahrscheinlich auf messen an Schlipstraeger verteilt wurde. Erkentnissgewinn gleich null, und ausser "Wenn JavaScript zum verteilen von Malware zum Einsatz kommt, wird sie häufig codiert oder verschlüsselt. " steht da nichts zum thema.
Abgesehen davon kennt der schreiber offensichtlich die bedeutung von "codieren" und "verschluesseln" nicht und verwendet die woerter hier um "verschleiern" zu beschreiben.
Meldung ueber einen bug von 2013! "Ältere, zum Tor-Browser-Bundle gehörende Firefox-Browser enthalten eine Javascript-Sicherheitslücke" - also nichtmal der wald-und-wiesen firefox, sondern die tor edition.
und woanders:
"Security researcher Nils reported that specially crafted web content using the onreadystatechange event and reloading of pages could sometimes cause a crash when unmapped memory is executed. This crash is potentially exploitable."
haste das aufmerksam gelesen und verstanden? Die sicherheistluecke ist nicht NICHT javascript, sondern wenn ein crash hervorgerufen wird der zum ausfuehren von code missbraucht wird!
Schreibt nur was von browserweiterleitungen mittels javascript auf die schadseite, ohne genau zu erklaeren was genau gemacht wird und welcher javascript code zur ausfuehrung des exploits verwendet wird. Weiterleiten kann ich den browser genausogut per meta refresh oder .htaccess, aber deswegen sind diese technologien doch nicht boese!
Selbes problem wie zuvor! Dass es jemand geschafft hat code auf einer fremden webseite unterzubringen ist das problem, und nicht dass sie dann ausgerechnet javascript dazu verwenden dort unsichtbare iframes einzubauen die code von woanders nachladen!
Wenn ich zugriff auf einen anderen webserver habe, dann kann ich auch dort gleich meinen exploit direkt unterbringen - dass dazu javascript benutzt wird dient nur deren bequemlichkeit, damit die angreifer neuen code jederzeit bei sich selbst updaten und an alle infizierten seiten verteilen koennen.
Setzen, 6!
Du hast das thema voellig verfehlt, zitierte beitraege sind so alt das sich dort noch windows95 screenshots finden und so geschrieben als wuerde dort versuchen ein privatsender die oma auf dem sofa zu erschrecken. In keinem deiner beitraege fuehrt javascript selbst boesartigen code aus!
