FANDOM


Sicherheitsbedenken zu pers. JavaScript Bearbeiten

Zwei Dinge vorab: Der folgende Abschnitt wird recht technisch und ist dafür gedacht konstruktiv die erneute Freigabe des JS zu reflektieren. (Es könnte als Troll/Nörgeln verstanden werden, was nicht vorrangig mein Ziel ist):
Es besteht die theoretische Möglichkeit einen Trojaner via JavaScript zu programmieren und diesen durch die Benutzer mit aktiviertem JavaScript weiter zu tragen. "Anleitung": Zuerst erstellt man ein Javascript in einem beliebigen (Test)Wikia oder besser noch auf fremden Webspace mit freiem Zugang. Via Verbatim bindet man diesen Codeschnipsel auf beliebig vielen (unüberwachten) Startseiten, Begrüßungsnachrichten oder anderen Plattformen ein (Hier sind wenigstens Code-Admin-Rechte von Nöten, sodass solche Trolle wenigstens geahndet werden können). Der Codeschnipsel hat folgende Aufgabe: 1. er versucht auf die eigene JS-Code-Seite zu schreiben und sich dort einzubinden. 2. er versucht sich auf die globale private JS-Seite im Community-Wikia zu schreiben. 3. er versucht weitere Startseiten, Begrüßungsseiten etc. zu infizieren. Nach einer Inkubationszeit wird dann der Code von "Verbreitung" umgestellt auf "Beschädigung" und man kann somit vielen Wikia unter verschiedenen Benutzernamen schaden oder Cookie-Daten auslesen etc. pp.
Mit sehr sehr viel Aufwand wäre ich als Laie ohne Programmierausbildung dazu in der Lage sowas zu programmieren. Ein Hacker bastelt sowas in Minuten zusammen oder hat schon passende Skripte in seiner Schublade.

Wie gesagt: Ich will nur auf die Gefahren von Verbatim und JavaScript hinweisen. Als Trostpflaster: Es bleibt sehr schwer jemanden mit JavaScript wirklich persönlich zu schaden. Also die Daten auf dem eigenen PC sind soweit sicher. Nur die Wikia könnten arg beschädigt werden. -- 20M61 (Nachricht) 05:21, 4. Sep. 2015 (UTC)

Hallo 20M61. Ich gebe deine Bedenken mal als Feedback weiter. Ich sage auch dazu, dass ich dir vertraue und dass, das keine Drohung ist. :) Ich denke, du hast gelesen und verstanden, dass das hier nur das persönliche JS freigegeben worden ist? Wir haben vor und arbeiten daran, ein System einzuführen, bei dem JS Code geprüft und abgesegnet werden muss vom Wikia Staff. Das hatte ich im Forum erwähnt. — Dieser nicht signierte Beitrag stammt von ForestFairy (NachrichtenseiteBeiträge).
Hallo Fairy, natürlich habe ich die Posts zum Thema JavaScript verfolgt, da ich in diesem Bereich recht aktiv unterwegs war. Ich wills ja nicht probieren und ist mir eigentlich egal, weil ichs ja nicht probieren will. Also in sofern hoffe ich, dass ich einfach mal voll daneben liege. Man müsste ja ohnehin erstmal die Wikia-Grenze überwinden (man darf von einem Wikia nicht in ein anderes Wikia via JS schreiben / same origin - Doktrin). Also alles halb so wild. -- 20M61 (Nachricht) 20:16, 4. Sep. 2015 (UTC)
Nutzung von Community-Inhalten gemäß CC-BY-SA , sofern nicht anders angegeben.