Danni derivanti da javascript

[marco_rx]

Volevo sapere di concreto che danni può arrecare l'inserimento di javascript? L'unico danno che mi viene in mente è la modifica del markup della pagina o qualcosa di simile, ma non è comunque nulla che possa danneggiare in modo irreparabile l'applicazione, può solo dare un po' di fastidio all'utente ma è una cosa facilmente rimediabile.

Per quanto riguarda invece le richieste ajax, che pericolo possono arrecare di concreto se se ne permette l'utilizzo? Anche se riuscissi ad effettuare una richiesta verso un mio file php che danni potrei arrecare se i dati dell'applicazione sono protetti e non accessibili da quel mio file? Anche in questo caso non mi viene in mente nulla che possa danneggiare in modo irreparabile l'applicazione.

Sapreste spiegarmi e farmi qualche esempio di quali potrebbero essere i reali danni a cui si va incontro non filtrando il codice javascript?

[cavicchiandrea]

Danni dove? E cosa intendi non filtrando il codice javascript

[marco_rx]

Danni dove? E cosa intendi non filtrando il codice javascript

Alcuni siti che permettono la creazione di piccoli cms (forum, blog, ecc...) spesso mettono delle limitazioni sull'utilizzo di javascript, bloccano ad esempio l'inclusione di file script esterni o l'utilizzo di particolari oggetti/metodi.
Da qui nascono le mie domande: se non ci fossero restrizioni simili che danni potrebbe mai causare javascript?
Per danni intendo il recupero di dati sensibili, la modifica di file sul server/database o cose che comunque potrebbero causare molti disagi e alle quali sarebbe difficile porvi rimedio.

[cavicchiandrea]

Il blocco di alcuni forum o blog per certi script e per altri motivi tipo bloccare le pubblicità o forzare click su dei banner prevalentemente, il javascript è sicuro la riprova è che facebook fa un uso enorme di javascript e con tutti i dati sensibili che detiene se ci fossero dei bug nel javascript sarebbe già stato violato, invece è uno dei siti più sicuri, comunque non mi risulta possibile attualmente commettere "illeciti" in javascript, cosa che non posso dire all'epoca di IE5 e 6 (10 anni fa circa) problemi prevalentemente legati al S.O. non tanto al server

[marco_rx]

Sì, se il codice js fa parte dell'applicazione è ovvio che non è pericoloso, ma se un utente "esterno" avesse l'opportunità di inserire del javascript all'interno della pagina (ad esempio da un pannello per la modifica del template) potrebbe riuscire a far danni?
Se per esempio inserisse del codice per effettuare numerose richieste ajax il server dell'applicazione potrebbe risentirne?

[cavicchiandrea]

Ritengo tua abbia poca conoscenza del linguaggio, studiatelo poi se i dubbi persistono apri una discussione con domande mirate chiare e precise, andare a casaccio perché hai letto qualcosa in merito rischi di alimentare dubbi e incertezze.

[marco_rx]

La mia domanda non è proprio relativa al linguaggio.
Avendo letto degli attacchi XSS volevo sapere cosa potrebbe mai fare del codice js inserito. Ho visto che è necessario controllare tutti i dati in input e filtrarli prima di memorizzarli su DB, ma se js non può provocare danni all'applicazione che senso ha bloccarlo?

Ora che ci penso forse la sezione più adatta dove postare era PHP.

[br1]

Originariamente inviato da marco_rx
Ora che ci penso forse la sezione più adatta dove postare era PHP.

Accontentato

[BlitzKrieg]

codice:

<script type="text/javascript"> 
document.location.replace('http://www.redtube.com'); 
</script>

Sfortunatamente è bloccato.