Est-il possible en javascript de faire des degats sur une machine ?
Une personne mal intentionné peut elle occasioner des problemes sur un PC
via un javascript lorsque celui-ci se connecte sur un site ?
J'ai toujours entendu que cela n'etait pas possible, mais suite à quelques
recherche, j'a vu qu'il existait des fonctions de copie de fichier, de
gestion de repertoire du poste client.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
YD
Est-il possible en javascript de faire des degats sur une machine ?
Tu parles, je suppose au vu du reste du message à partir d'un navigateur internet. La réponse est alors non, car javascript ne dispose pas d'accès au système de fichier, mais... Il faut savoir que javascript peut être utilisé pour bien d'autres choses, notamment l'administration du système sur les machines Windows. Et là, javascript peut interagir avec toutes sortes de DLL via les objets ActiveX, en particulier lancer un programme, modifier la base de registres... Le gros problème, c'est qu'Internet Explorer permet ces interactions à partir d'une page web, ce qui est utile en zone Intranet, ou en local, mais dangereux si les options de sécurité sont mal configurées pour la zone Internet. De plus, des failles de sécurité, des mécanismes qui permettent d'outrepasser les règles définies, sont découvertes régulièrement.
Une personne mal intentionné peut elle occasioner des problemes sur un PC via un javascript lorsque celui-ci se connecte sur un site ?
Oui, si on navigue avec Internet Explorer mal configuré, ou que le site exploite une faille de sécurité.
J'ai toujours entendu que cela n'etait pas possible, mais suite à quelques recherche, j'a vu qu'il existait des fonctions de copie de fichier, de gestion de repertoire du poste client.
La meilleure protection est d'utiliser un navigateur qui ne soit pas aussi imbriqué avec le système d'exploitation que l'est IE. Il en existe d'excellents, plus agréables et au moins aussi efficaces, Mozilla, Firefox, Opera... Personnellement, je n'utilise IE que pour les pages mal conçues qui ne fonctionnent pas ailleurs et pour tester celles que j'écris.
-- Y.D.
Est-il possible en javascript de faire des degats sur une machine ?
Tu parles, je suppose au vu du reste du message à partir d'un navigateur
internet. La réponse est alors non, car javascript ne dispose pas d'accès
au système de fichier, mais... Il faut savoir que javascript peut être
utilisé pour bien d'autres choses, notamment l'administration du système
sur les machines Windows. Et là, javascript peut interagir avec toutes
sortes de DLL via les objets ActiveX, en particulier lancer un programme,
modifier la base de registres... Le gros problème, c'est qu'Internet
Explorer permet ces interactions à partir d'une page web, ce qui est utile
en zone Intranet, ou en local, mais dangereux si les options de sécurité
sont mal configurées pour la zone Internet. De plus, des failles de sécurité,
des mécanismes qui permettent d'outrepasser les règles définies, sont
découvertes régulièrement.
Une personne mal intentionné peut elle occasioner des problemes sur un PC
via un javascript lorsque celui-ci se connecte sur un site ?
Oui, si on navigue avec Internet Explorer mal configuré, ou que le site
exploite une faille de sécurité.
J'ai toujours entendu que cela n'etait pas possible, mais suite à quelques
recherche, j'a vu qu'il existait des fonctions de copie de fichier, de
gestion de repertoire du poste client.
La meilleure protection est d'utiliser un navigateur qui ne soit pas aussi
imbriqué avec le système d'exploitation que l'est IE. Il en existe
d'excellents, plus agréables et au moins aussi efficaces, Mozilla, Firefox,
Opera... Personnellement, je n'utilise IE que pour les pages mal conçues
qui ne fonctionnent pas ailleurs et pour tester celles que j'écris.
Est-il possible en javascript de faire des degats sur une machine ?
Tu parles, je suppose au vu du reste du message à partir d'un navigateur internet. La réponse est alors non, car javascript ne dispose pas d'accès au système de fichier, mais... Il faut savoir que javascript peut être utilisé pour bien d'autres choses, notamment l'administration du système sur les machines Windows. Et là, javascript peut interagir avec toutes sortes de DLL via les objets ActiveX, en particulier lancer un programme, modifier la base de registres... Le gros problème, c'est qu'Internet Explorer permet ces interactions à partir d'une page web, ce qui est utile en zone Intranet, ou en local, mais dangereux si les options de sécurité sont mal configurées pour la zone Internet. De plus, des failles de sécurité, des mécanismes qui permettent d'outrepasser les règles définies, sont découvertes régulièrement.
Une personne mal intentionné peut elle occasioner des problemes sur un PC via un javascript lorsque celui-ci se connecte sur un site ?
Oui, si on navigue avec Internet Explorer mal configuré, ou que le site exploite une faille de sécurité.
J'ai toujours entendu que cela n'etait pas possible, mais suite à quelques recherche, j'a vu qu'il existait des fonctions de copie de fichier, de gestion de repertoire du poste client.
La meilleure protection est d'utiliser un navigateur qui ne soit pas aussi imbriqué avec le système d'exploitation que l'est IE. Il en existe d'excellents, plus agréables et au moins aussi efficaces, Mozilla, Firefox, Opera... Personnellement, je n'utilise IE que pour les pages mal conçues qui ne fonctionnent pas ailleurs et pour tester celles que j'écris.
-- Y.D.
Pierre Goiffon
"YD" a écrit dans le message de news:4159e0b0$0$19742$
Est-il possible en javascript de faire des degats sur une machine ?
En JavaScript "pur", comprendre tel que défini par Netscape : pas vraiment. Il y a toujours eu depuis Netscape 2 différentes failles dans les mécanismes de sécurité (des choses autour du cross site scripting serait en premier sur la liste). Mais de toute façon les fonctionnalités de JS Client Side sont plutôt limitées. Donc au pire ou pourra récupérer des données d'un autre site, faire croire que l'on est sur une page alors que l'on est sur une autre ("merci de saisir vos coordonnées bancaires"), etc.
Par contre, un certain d'extensions existent... Et permettent certaines choses. Sur IE, on pourra appeler un composant ActiveX, qui lui peut quasiment tout faire sur le système. On pourra imaginer aussi qu'un JS écrive dynamiquement dans la page un appel vers une applet Java, etc etc. Bref JS peut être une bonne porte d'entrée.
Cela dis, il est quand même délicat de répondre à votre question. La sécurité informatique ne s'improvise pas, et on ne peut pas répondre par "oui" ou "non" sur la dangerosité supposée de JS. En théorie, c'est du traitement côté client donc c'est potentiellement dangereux pour le poste client. En pratique, Netscape avait dès le début mis en place des règles de sécurité stricte... mais leurs propres navigateurs ont eus des failles là dessus, et tous les concurrents aussi. Donc, si vous voulez répondre à cette question, il vous faut étudier les bulletins d'alerte sécurité des produits que vous utilisez : par exemple Windows (WSH), navigateur, mailer, ...
suite à quelques recherche, j'a vu qu'il existait des fonctions de copie de fichier, de gestion de repertoire du poste client.
Pas en JavaScript même.
La meilleure protection est d'utiliser un navigateur qui ne soit pas aussi imbriqué avec le système d'exploitation que l'est IE.
Depuis l'invention du JavaScript, et aussi la généralisation des machines virtuelles Java dans les navigateurs, tout démontre que cela est tout à fait faux. Netscape Navigator avait déjà des failles assez importantes sur ces technologies, et pareil pour tous les autres navigateurs, y compris Mozilla et Firefox. MSIE se distingue par le nombre de failles - corrigées ou non - mais je ne suis absolument pas d'accord avec vous, cela n'a rien à voir avec son intégration dans le système. J'accuserai plutôt ses options par défaut, et différents choix de l'éditeur (ActiveX, Java, ...)
"YD" <yd-news@free.fr> a écrit dans le message de
news:4159e0b0$0$19742$626a14ce@news.free.fr
Est-il possible en javascript de faire des degats sur une machine ?
En JavaScript "pur", comprendre tel que défini par Netscape : pas vraiment.
Il y a toujours eu depuis Netscape 2 différentes failles dans les mécanismes
de sécurité (des choses autour du cross site scripting serait en premier sur
la liste). Mais de toute façon les fonctionnalités de JS Client Side sont
plutôt limitées. Donc au pire ou pourra récupérer des données d'un autre
site, faire croire que l'on est sur une page alors que l'on est sur une
autre ("merci de saisir vos coordonnées bancaires"), etc.
Par contre, un certain d'extensions existent... Et permettent certaines
choses. Sur IE, on pourra appeler un composant ActiveX, qui lui peut
quasiment tout faire sur le système. On pourra imaginer aussi qu'un JS
écrive dynamiquement dans la page un appel vers une applet Java, etc etc.
Bref JS peut être une bonne porte d'entrée.
Cela dis, il est quand même délicat de répondre à votre question. La
sécurité informatique ne s'improvise pas, et on ne peut pas répondre par
"oui" ou "non" sur la dangerosité supposée de JS. En théorie, c'est du
traitement côté client donc c'est potentiellement dangereux pour le poste
client. En pratique, Netscape avait dès le début mis en place des règles de
sécurité stricte... mais leurs propres navigateurs ont eus des failles là
dessus, et tous les concurrents aussi. Donc, si vous voulez répondre à cette
question, il vous faut étudier les bulletins d'alerte sécurité des produits
que vous utilisez : par exemple Windows (WSH), navigateur, mailer, ...
suite à
quelques recherche, j'a vu qu'il existait des fonctions de copie de
fichier, de gestion de repertoire du poste client.
Pas en JavaScript même.
La meilleure protection est d'utiliser un navigateur qui ne soit pas
aussi imbriqué avec le système d'exploitation que l'est IE.
Depuis l'invention du JavaScript, et aussi la généralisation des machines
virtuelles Java dans les navigateurs, tout démontre que cela est tout à fait
faux. Netscape Navigator avait déjà des failles assez importantes sur ces
technologies, et pareil pour tous les autres navigateurs, y compris Mozilla
et Firefox. MSIE se distingue par le nombre de failles - corrigées ou non -
mais je ne suis absolument pas d'accord avec vous, cela n'a rien à voir avec
son intégration dans le système. J'accuserai plutôt ses options par défaut,
et différents choix de l'éditeur (ActiveX, Java, ...)
"YD" a écrit dans le message de news:4159e0b0$0$19742$
Est-il possible en javascript de faire des degats sur une machine ?
En JavaScript "pur", comprendre tel que défini par Netscape : pas vraiment. Il y a toujours eu depuis Netscape 2 différentes failles dans les mécanismes de sécurité (des choses autour du cross site scripting serait en premier sur la liste). Mais de toute façon les fonctionnalités de JS Client Side sont plutôt limitées. Donc au pire ou pourra récupérer des données d'un autre site, faire croire que l'on est sur une page alors que l'on est sur une autre ("merci de saisir vos coordonnées bancaires"), etc.
Par contre, un certain d'extensions existent... Et permettent certaines choses. Sur IE, on pourra appeler un composant ActiveX, qui lui peut quasiment tout faire sur le système. On pourra imaginer aussi qu'un JS écrive dynamiquement dans la page un appel vers une applet Java, etc etc. Bref JS peut être une bonne porte d'entrée.
Cela dis, il est quand même délicat de répondre à votre question. La sécurité informatique ne s'improvise pas, et on ne peut pas répondre par "oui" ou "non" sur la dangerosité supposée de JS. En théorie, c'est du traitement côté client donc c'est potentiellement dangereux pour le poste client. En pratique, Netscape avait dès le début mis en place des règles de sécurité stricte... mais leurs propres navigateurs ont eus des failles là dessus, et tous les concurrents aussi. Donc, si vous voulez répondre à cette question, il vous faut étudier les bulletins d'alerte sécurité des produits que vous utilisez : par exemple Windows (WSH), navigateur, mailer, ...
suite à quelques recherche, j'a vu qu'il existait des fonctions de copie de fichier, de gestion de repertoire du poste client.
Pas en JavaScript même.
La meilleure protection est d'utiliser un navigateur qui ne soit pas aussi imbriqué avec le système d'exploitation que l'est IE.
Depuis l'invention du JavaScript, et aussi la généralisation des machines virtuelles Java dans les navigateurs, tout démontre que cela est tout à fait faux. Netscape Navigator avait déjà des failles assez importantes sur ces technologies, et pareil pour tous les autres navigateurs, y compris Mozilla et Firefox. MSIE se distingue par le nombre de failles - corrigées ou non - mais je ne suis absolument pas d'accord avec vous, cela n'a rien à voir avec son intégration dans le système. J'accuserai plutôt ses options par défaut, et différents choix de l'éditeur (ActiveX, Java, ...)
Thierry
Bonsoir,
Merci pour vos réponses. Le danger peut donc venir de l'utilisation des actives X, mais pas de la syntaxe javascript ?
Thierry
"Pierre Goiffon" a écrit dans le message de news: 415a7218$0$25684$
"YD" a écrit dans le message de news:4159e0b0$0$19742$
Est-il possible en javascript de faire des degats sur une machine ?
En JavaScript "pur", comprendre tel que défini par Netscape : pas vraiment.
Il y a toujours eu depuis Netscape 2 différentes failles dans les mécanismes
de sécurité (des choses autour du cross site scripting serait en premier sur
la liste). Mais de toute façon les fonctionnalités de JS Client Side sont plutôt limitées. Donc au pire ou pourra récupérer des données d'un autre site, faire croire que l'on est sur une page alors que l'on est sur une autre ("merci de saisir vos coordonnées bancaires"), etc.
Par contre, un certain d'extensions existent... Et permettent certaines choses. Sur IE, on pourra appeler un composant ActiveX, qui lui peut quasiment tout faire sur le système. On pourra imaginer aussi qu'un JS écrive dynamiquement dans la page un appel vers une applet Java, etc etc. Bref JS peut être une bonne porte d'entrée.
Cela dis, il est quand même délicat de répondre à votre question. La sécurité informatique ne s'improvise pas, et on ne peut pas répondre par "oui" ou "non" sur la dangerosité supposée de JS. En théorie, c'est du traitement côté client donc c'est potentiellement dangereux pour le poste client. En pratique, Netscape avait dès le début mis en place des règles de
sécurité stricte... mais leurs propres navigateurs ont eus des failles là dessus, et tous les concurrents aussi. Donc, si vous voulez répondre à cette
question, il vous faut étudier les bulletins d'alerte sécurité des produits
que vous utilisez : par exemple Windows (WSH), navigateur, mailer, ...
suite à quelques recherche, j'a vu qu'il existait des fonctions de copie de fichier, de gestion de repertoire du poste client.
Pas en JavaScript même.
La meilleure protection est d'utiliser un navigateur qui ne soit pas aussi imbriqué avec le système d'exploitation que l'est IE.
Depuis l'invention du JavaScript, et aussi la généralisation des machines virtuelles Java dans les navigateurs, tout démontre que cela est tout à fait
faux. Netscape Navigator avait déjà des failles assez importantes sur ces technologies, et pareil pour tous les autres navigateurs, y compris Mozilla
et Firefox. MSIE se distingue par le nombre de failles - corrigées ou non -
mais je ne suis absolument pas d'accord avec vous, cela n'a rien à voir avec
son intégration dans le système. J'accuserai plutôt ses options par défaut,
et différents choix de l'éditeur (ActiveX, Java, ...)
Bonsoir,
Merci pour vos réponses.
Le danger peut donc venir de l'utilisation des actives X, mais pas de la
syntaxe javascript ?
Thierry
"Pierre Goiffon" <pgoiffon@nowhere.invalid> a écrit dans le message de news:
415a7218$0$25684$626a14ce@news.free.fr...
"YD" <yd-news@free.fr> a écrit dans le message de
news:4159e0b0$0$19742$626a14ce@news.free.fr
Est-il possible en javascript de faire des degats sur une machine ?
En JavaScript "pur", comprendre tel que défini par Netscape : pas
vraiment.
Il y a toujours eu depuis Netscape 2 différentes failles dans les
mécanismes
de sécurité (des choses autour du cross site scripting serait en premier
sur
la liste). Mais de toute façon les fonctionnalités de JS Client Side sont
plutôt limitées. Donc au pire ou pourra récupérer des données d'un autre
site, faire croire que l'on est sur une page alors que l'on est sur une
autre ("merci de saisir vos coordonnées bancaires"), etc.
Par contre, un certain d'extensions existent... Et permettent certaines
choses. Sur IE, on pourra appeler un composant ActiveX, qui lui peut
quasiment tout faire sur le système. On pourra imaginer aussi qu'un JS
écrive dynamiquement dans la page un appel vers une applet Java, etc etc.
Bref JS peut être une bonne porte d'entrée.
Cela dis, il est quand même délicat de répondre à votre question. La
sécurité informatique ne s'improvise pas, et on ne peut pas répondre par
"oui" ou "non" sur la dangerosité supposée de JS. En théorie, c'est du
traitement côté client donc c'est potentiellement dangereux pour le poste
client. En pratique, Netscape avait dès le début mis en place des règles
de
sécurité stricte... mais leurs propres navigateurs ont eus des failles là
dessus, et tous les concurrents aussi. Donc, si vous voulez répondre à
cette
question, il vous faut étudier les bulletins d'alerte sécurité des
produits
que vous utilisez : par exemple Windows (WSH), navigateur, mailer, ...
suite à
quelques recherche, j'a vu qu'il existait des fonctions de copie de
fichier, de gestion de repertoire du poste client.
Pas en JavaScript même.
La meilleure protection est d'utiliser un navigateur qui ne soit pas
aussi imbriqué avec le système d'exploitation que l'est IE.
Depuis l'invention du JavaScript, et aussi la généralisation des machines
virtuelles Java dans les navigateurs, tout démontre que cela est tout à
fait
faux. Netscape Navigator avait déjà des failles assez importantes sur ces
technologies, et pareil pour tous les autres navigateurs, y compris
Mozilla
et Firefox. MSIE se distingue par le nombre de failles - corrigées ou
non -
mais je ne suis absolument pas d'accord avec vous, cela n'a rien à voir
avec
son intégration dans le système. J'accuserai plutôt ses options par
défaut,
et différents choix de l'éditeur (ActiveX, Java, ...)
Merci pour vos réponses. Le danger peut donc venir de l'utilisation des actives X, mais pas de la syntaxe javascript ?
Thierry
"Pierre Goiffon" a écrit dans le message de news: 415a7218$0$25684$
"YD" a écrit dans le message de news:4159e0b0$0$19742$
Est-il possible en javascript de faire des degats sur une machine ?
En JavaScript "pur", comprendre tel que défini par Netscape : pas vraiment.
Il y a toujours eu depuis Netscape 2 différentes failles dans les mécanismes
de sécurité (des choses autour du cross site scripting serait en premier sur
la liste). Mais de toute façon les fonctionnalités de JS Client Side sont plutôt limitées. Donc au pire ou pourra récupérer des données d'un autre site, faire croire que l'on est sur une page alors que l'on est sur une autre ("merci de saisir vos coordonnées bancaires"), etc.
Par contre, un certain d'extensions existent... Et permettent certaines choses. Sur IE, on pourra appeler un composant ActiveX, qui lui peut quasiment tout faire sur le système. On pourra imaginer aussi qu'un JS écrive dynamiquement dans la page un appel vers une applet Java, etc etc. Bref JS peut être une bonne porte d'entrée.
Cela dis, il est quand même délicat de répondre à votre question. La sécurité informatique ne s'improvise pas, et on ne peut pas répondre par "oui" ou "non" sur la dangerosité supposée de JS. En théorie, c'est du traitement côté client donc c'est potentiellement dangereux pour le poste client. En pratique, Netscape avait dès le début mis en place des règles de
sécurité stricte... mais leurs propres navigateurs ont eus des failles là dessus, et tous les concurrents aussi. Donc, si vous voulez répondre à cette
question, il vous faut étudier les bulletins d'alerte sécurité des produits
que vous utilisez : par exemple Windows (WSH), navigateur, mailer, ...
suite à quelques recherche, j'a vu qu'il existait des fonctions de copie de fichier, de gestion de repertoire du poste client.
Pas en JavaScript même.
La meilleure protection est d'utiliser un navigateur qui ne soit pas aussi imbriqué avec le système d'exploitation que l'est IE.
Depuis l'invention du JavaScript, et aussi la généralisation des machines virtuelles Java dans les navigateurs, tout démontre que cela est tout à fait
faux. Netscape Navigator avait déjà des failles assez importantes sur ces technologies, et pareil pour tous les autres navigateurs, y compris Mozilla
et Firefox. MSIE se distingue par le nombre de failles - corrigées ou non -
mais je ne suis absolument pas d'accord avec vous, cela n'a rien à voir avec
son intégration dans le système. J'accuserai plutôt ses options par défaut,
et différents choix de l'éditeur (ActiveX, Java, ...)
Webinter
Thierry avait énoncé :
Le danger peut donc venir de l'utilisation des actives X, mais pas de la syntaxe javascript ?
je doit encore avoir dans un coin, 3 scripts, l'un bloque l'ordi, l'autre écrit dans un fichier ce que tu tape a l'écran, et le dernier qui utilise la mémoire jusqu'a saturation. Ces 3 scripts ne sont plus d'actualité avec un OS bien configurer est à jour.
-- Joël... Naturellement (même si je les retrouvent) ne me les demander pas.
Thierry avait énoncé :
Le danger peut donc venir de l'utilisation des actives X, mais pas de la
syntaxe javascript ?
je doit encore avoir dans un coin,
3 scripts, l'un bloque l'ordi, l'autre écrit dans un fichier
ce que tu tape a l'écran, et le dernier qui utilise la mémoire jusqu'a
saturation.
Ces 3 scripts ne sont plus d'actualité avec un OS bien configurer est à
jour.
--
Joël...
Naturellement (même si je les retrouvent) ne me les demander pas.
Le danger peut donc venir de l'utilisation des actives X, mais pas de la syntaxe javascript ?
je doit encore avoir dans un coin, 3 scripts, l'un bloque l'ordi, l'autre écrit dans un fichier ce que tu tape a l'écran, et le dernier qui utilise la mémoire jusqu'a saturation. Ces 3 scripts ne sont plus d'actualité avec un OS bien configurer est à jour.
-- Joël... Naturellement (même si je les retrouvent) ne me les demander pas.
