Bom, vejo que javascript é uma linguagem queridinha na programação, mas já vi também que ela é vista como um risco para a segurança e privacidade dos usuários na web (tanto que no tor borwser é recomendável deixa-lo desativado.
Minha cabeça fica quase explodindo com isso, pois por um lado você pode ter uma linguagem que pode te ajudar a fazer coisas incríveis, mas por outro ela pode ser uma armadilha.
Vai um link de referencia: A Armadilha do JavaScript - Projeto GNU - Free Software Foundation
JavaScript não é perigoso, mas assim como boa parte das tecnologias, pode ser utilizado para atividades maliciosas. Apenas isso.
O @Yofiel já disse tudo, hoje é praticamente impossível desativar o javascript nos navegadores, não vai conseguir nem acessar esse fórum. rsrs
Noscript mandou abraços rsrs
Por isso que é interessante tomar medidas de precaução nos programas susceptíveis a rodar código de terceiros, no caso do navegado:
- rodar em firejail
- rodar em container
- rodar em chroot
- travar permissões com apparmor ou selinux.
- usar ambiente virtualizado
Tenho um certo medo em usar chroot, pois precisa ser super-usuário para entrar no chroot…
Eu li o artigo, e pelo que o Stallman fala nenhum site/webapp poderia usar frameworks como React, Vue.js e Angular. rsrs
Praticamente impossível hoje em dia, ainda mais com essa nova geração de desenvolvedores que querem tudo na hora! rsrs
O programa proot
pode ser instalado e possibilita ao usuário comum a mesma funcionalidade do chroot
Mas eu apenas li sobre, não cheguei a usar.
Olha, qualquer forma de “sai de casa” é um risco a segurança, o javascript assim como C, C++, Lua, Python… são linguagens de programação, ou seja, servem pra desenvolver softwares e todo software é risco em potencial a segurança em N pontos, por exemplo:
Que mal um joguinho simples offline poderia fazer?
Simples, ele libera endorfina, e como tal tem um potencial de te viciar e colocar sua segurança em risco como por exemplo sair na rua com o Notebook/celular, ou mesmo ficar dias sem comer/trabalhar jogando…
Você pode pensar… “nossa, que exagero”, mas é um risco em potencial válido isso não significa que vai acontecer, significa que pode acontecer e que você deve cuidar para que não aconteça, enfim, javasccript (assim como qualquer outra coisa no universo) é um risco em potencial a segurança se você cuidar pra que não fira sua segurança (acessando apenas sites confiáveis por exemplo, que não ficam abrindo PopUps) no geral não tem problema
Mais ou menos, isso acontece por dois motivos principais:
Armazenamento dados que se comportam como impressão digital
porque uma das características do Javascript é permitir (ou seja não significa que vai) armazenar Cookies, cookies permitem que o site se lembre de você e o que você fez nele, outro exemplo, provavelmente quando você entrou no Fórum pra comentar e não precisou fazer login, isso é o que se conhece por cookie, o problema é que eles geralmente não são protegidos fora do site (isso não é culpa do javascript, mas sim do browser), então se você copiar um perfil do Chrome pra outro PC, você terá todos os logins em todos os sites no PC para onde foram copiados, e também permite (de maneira grosseira) compartilhamento de dados entre sites, por exemplo, você pesquisa por “Fones Bluetooth” no Google, o site do Google vai armazenar que você fez isso, assim, qualquer site que use as bibliotecas do Google pra exibir propagandas, vão poder exibir esses dados e o javascript do site poderá manipular isso (DOM)
Requisições escondidas
O javascript permite fazer requisições a outros sites sem a intervenção do usuário, ou seja, ele permite ou seja, não significa que vai enviar dados a servidores “obscuros”
Tudo isso somado ao fato de que o Tor geralmente é usado pra acessar sites não tradicionais que podem colocar em risco a segurança física do usuário, não resta muita escolha a não ser desativar
Uma coisa legal do Javascript, sabe quando você digita aqui no fórum e aparece o texto formatado ao lado? Agradeça ao javascript
Sobre a minificação dos códigos javascript/css, se esses arquivos não fores minificados, eles podem levar de 2 a 3x mais tempo para serem baixados, e o mais legal, pode ser restaurado (na maioria dos casos) através do próprio navegador
Pior que me identifico como essa geração que quer tudo na hora rsrs