Być może widziałeś powiadomienie, że w skrzynce odbiorczej coś się zmienia. Od lutego 2017 r. Gmail zmienił zasady dotyczące JavaScript. Oto, dlaczego to się zmienia i jak możesz zabezpieczyć się przed złośliwym kodem JavaScript.
JavaScript (nie mylić z Javą, odrębnym językiem programowania o podobnej nazwie) nie jest z natury niebezpieczny ani złośliwy - w rzeczywistości ta strona, którą czytasz, używa teraz JavaScript, podobnie jak większość nowoczesnych stron internetowych. JavaScript to język programowania, który jest przechowywany w postaci zwykłego tekstu i wykonywany przez różne programy, w tym przeglądarki internetowe. Różni się to od programów pisanych zwykłym tekstem i skompilowanych do wykonania jako "binarne", jak większość programów zainstalowanych na twoim komputerze.
JavaScript istnieje od połowy lat 90. Ten ważny język miał swoją pierwszą wersję stworzoną w zaledwie 10 dni przez Brendana Eicha do użycia w pierwszej wersji Netscape Navigatora. Ważnym osiągnięciem, Eich stał się współzałożycielem i dyrektorem technicznym Mozilli, firmy zarządzającej Firefoksem. Wszystkie nowoczesne przeglądarki internetowe mogą wykonywać JavaScript, dodając złożoność i logikę programowania do projektowania stron internetowych, co nie było możliwe w przypadku prostego kodu HTML.
Ponieważ tak wielu ludzi potrzebowało JavaScript w rozwijającej się sieci lat 90. i początku 2000 roku, jej popularność wśród programistów wzrosła wykładniczo. Obecnie jest to prawdopodobnie najpopularniejszy język w sieci.
Wraz z eksplozją popularności JavaScript i rosnącą złożonością sieci, Google wypuściło swoją przeglądarkę Chrome i V8, mechanizm open-source do wydajnego wykonywania kodu JavaScript. Wraz z wydaniem w 2008 r. Przyspieszyło prędkość ładowania stron internetowych i JavaScript i doprowadziło do jeszcze większej liczby użytkowników w następnym roku.
Sprytni programiści wziął silnik V8 z projektu Chrome i wydali aplikację po stronie serwera o nazwie Node.js w 2009 roku. Pozwoliło to serwerowi na takie rzeczy jak przechowywanie i pobieranie plików oraz wyświetlanie stron internetowych, ale przy użyciu tylko JavaScript. Oznacza to, że programiści mogą korzystać z już istniejącej wiedzy o JavaScript i nie muszą uczyć się nowych języków. Węzeł zaczął zastępować PHP i Python w wielu nowych aplikacjach i witrynach internetowych, a jego popularność wśród programistów wciąż rośnie.
Ponieważ JavaScript jest wszędzie, możesz założyć, że można go uruchamiać z milionami rzeczy. Wiele osób może to napisać, i można go wykorzystać. To nie czyni go gorszym od MS Office Macros lub załączników e-mail, ale ma potencjał do niewłaściwego użycia.
Eksperci ds. Bezpieczeństwa odnotowali tendencję większej liczby złośliwych programów napisanych w języku JavaScript. Są one często wysyłane pocztą e-mail, ukryte pod życiorysami lub wiadomościami phishingowymi skierowanymi do firm lub roszczeniem, że załącznik "śledzi ostatnie zamówienie". Jest to "wstrzyknięcie złośliwego konia" (lub po prostu "trojan") oprogramowanie, ponieważ potrzebuje niczego niepodejrzewającego użytkownika do pobierania, otwierania, uruchamiania lub instalowania złośliwych bitów kodu.
Jednym z ostatnich przerażających trendów jest Ransomware. Biorąc pod uwagę dostęp do komputera, program JavaScript może instalować oprogramowanie, aby zamienić ważne pliki w nieczytelny bełkot poprzez proces o nazwie Szyfrowanie, zmuszając do zapłacenia komuś w połowie globu, aby odzyskać pliki, które kiedyś były twoje.
Google przechowuje listę typowych rodzajów plików używanych przez twórców złośliwego oprogramowania, a Gmail blokuje je. Ze względu na wzrost liczby tego typu złośliwego oprogramowania, do tej listy został dodany typ pliku JavaScript. Jest mało prawdopodobne, aby spowodowało to problemy u większości użytkowników. Wyjątkiem jest to, że jesteś programistą, który próbuje wysłać do współpracownika plik o nazwie "functions.js".W takim przypadku może być konieczne udostępnienie za pośrednictwem Google Drive lub innych rozwiązań do udostępniania plików. Ale większość użytkowników prawdopodobnie nie zauważy żadnej różnicy.
JavaScript nie jest najmniej przerażający, ale może wyrządzić wiele szkody komputerowi, jeśli nie jesteś ostrożny. Zwróćmy więc naszą uwagę na to, co możesz zrobić, aby zachować bezpieczeństwo.
Windows stał się bardziej podatny na tego typu ataki, częściowo z powodu programu Windows Script Host, który może uruchamiać pliki JavaScript i potencjalnie szkodzić systemowi - to znaczy, jeśli na to zezwolisz.
Oto prosta metoda uniknięcia tego, bez całkowitego wyłączenia skryptów. Możesz ustawić system Windows tak, aby otwierał pliki .JS z programem, który nie wykonuje kodu: Notatnik. Oto jak.
Otwórz Notatnik, klikając menu Start i wpisując Notatnik.
Gdy pusty plik jest otwarty, wybierz Plik> Zapisz jako. Zapisz otwarty pusty dokument na pulpicie jako Blank.js , upewniając się, że usuwasz rozszerzenie pliku .txt.
Zamknij Notatnik. Kliknij prawym przyciskiem myszy fałszywy plik .JS, który właśnie utworzyłeś i znajdź "Otwórz za pomocą" w menu kontekstowym. Kliknij "Wybierz inną aplikację".
Wybierz "Notepad" z listy i upewnij się, że pole wyboru obok "Always Open with" jest zaznaczone.
Teraz wszelkie złośliwe pliki JavaScript, które przypadkowo otworzysz, będą otwierać się w Notatniku w sposób nieszkodliwy.
Możesz również domyślnie wyłączyć Hosta skryptów systemu Windows dla swojego komputera, upewniając się, że wykonywany przez niego kod, zły lub dobry, nie może być uruchomiony bez ponownego włączenia. To może być przesada, ale jest rozsądną rzeczą, aby zabezpieczyć komputer ukochanej osoby. Oto zalecana przez firmę Microsoft metoda całkowitego wyłączania Hosta skryptów systemu Windows.
Oczywiście nigdy nie zapominaj o podstawach: nigdy nie otwieraj załączników e-mail od niezaufanych lub nieznanych nadawców, lub od znanych nadawców, jeśli wiadomość e-mail wygląda podejrzanie lub jest myląca. Po prostu spowoduje to zmniejszenie ryzyka związanego ze wszystkimi złośliwymi kodami trojańskimi prawie do zera, ponieważ większość z nich pochodzi ze spamu lub porwanych kont e-mail.
I to wszystko, co musisz wiedzieć o utrzymywaniu bezpieczeństwa przed złymi fragmentami JavaScript. Jednak od 13 lutego nie będziesz musiał się martwić, że te pliki zostaną wysłane na Twój adres Gmail, ponieważ typ pliku zostanie całkowicie zablokowany.
