Bezpieczeństwo w sieci(XSS, progressive web apps)

Hej,

Ostatnio naszedł mnie temat bezpieczeństwa w IT.
Prawie wszędzie słyszę, aktualizuj system, regularnie skanuj komputer, nie wchodź w linki od nieznajomych, nie otwieraj załączników itd itd itd…
Okej, to jest powszechna wiedza, ale wydaje mi się, że jest jeszcze jeden temat który często jest pomijany, a w dzisiejszych czasach jest kluczowy… chodzi O JS, a bardziej Cross-Site Scripting(XSS), wykradanie sesji, keylogger(w JS), progressive web apps, różne iframe “niewidzialne” itd itd… - wszystko co tylko może się wydarzyć po wejściu na niezbyt ciekawą stronę.

Jak podchodzicie do tego typu sytuacji? Zablokowanie JS w przeglądarkach i ustawienie białej listy stron które mogą z nich korzystać?
Co myślicie, jak zabezpieczacie?
Zapraszam do dyskusji :slight_smile:

U mnie obowiązkowo netcraft extension i to na wszystkich nowych przeglądarkach.
MWSnap275

Co do blokowania noscript - to bez tego żyje się bez bugów.
Niestety - samemu też trzeba łapać złodziei, stosować własne filtry na uciążliwe skrypty.

Mam to gdzieś. Będą chcieli to i tak zaatakują. Jedyne, co robię to mam ustawione czyszczenie wszystkiego w przeglądarce podczas zamykania. Poza tym kto byś coś chciał ode mnie zwykłego szaraczka? Ej? Ale dlaczego pytasz nas, jak się zabezpieczamy? Szukasz łatwego celu? :slight_smile:

@XOR
Nie w tym rzecz.
Zabawne jest to, że możesz pracować na Linuxie, być podejrzliwym w każdej kwestii, i wystarczy chwila nieuwagi, przekierowanie na strone XYZ(aktywna sesja na Facebooku) -> Wyciągnięcie sesji -> kradzież na blik lub jakiekolwiek inne działanie którego się nie spodziewasz…

Cokolwiek w tym kontekście, nie uważasz że JS ma za dużo mocy sprawczej? :stuck_out_tongue: A bronić się jakoś trzeba, nie tylko udawać, że nie ma problemu.

Dlatego najlepiej nie logować się “przy pomocy Google, Apple, FB …” tylko używać osobnych kont online na każdym serwisie.
Może mniej wygodne i staroświeckie, ale przejęcie sesji lub jak ktoś wyłuska token sesji nawet z zaatakowanego serwisu to mniej brzemienne w skutkach.
Wolę zrobić 2 kliknięcia więcej niż potem zastanawiać się gdzie coś się dostało i jakie dane wykradło.