• ベストアンサー

JavaScriptを使用することの危険性

お世話になります。 開発マシン->ftp->サーバーコンピュータ という形でHPを公開しています。  この時、公開するhtmlでJavaScriptを使うことによって、開発マシンにある重要なファイルが閲覧されてしまう、盗まれてしまうといった危険性があるのでしょうか。  職場でHPを開発しているのですが、IEのセキュリティーレベルで「JavaScriptを無効にする」という設定があるためJavaScriptが危険だと主張して引かない人がいます。この危険性は、HPを閲覧する人のマシンに対してであって、サーバーコンピュータへの危険ではないはずなのですが。また、webで検索をかけると、JavaScriptの危険性についていくつか出てきます。これも、閲覧する人のマシンが危険ということだと思うのですが。  JavaScriptを使用することによるセキュリティー上の問題がサーバーコンピュータ、そして開発用マシンに対して考えられるのでしょうか。 よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • HIRSYU
  • ベストアンサー率51% (45/87)
回答No.5

>私のプロバイダは、IISではありませんが、 IISはプロパイダのことではありません。 IISとは(簡単な説明ですが) http://e-words.jp/w/IIS.html >ググッテみました。かなり悪意を持って、かつ、PC、NETに関わる知識が豊富で、かつ、IISが使用されていて、かつ、タイミングの問題に関することと認識しましたが、いかがなものでしょうか。 悪意ある人が狙って行えば危険な行為で、正しい認識ですが、「タイミングの問題」は違います。 バッファーオーバーランとは(簡単な説明ですが) http://e-words.jp/w/E38390E38383E38395E382A1E382AAE383BCE38390E383BCE383A9E383B3.html JavaScriptによる、サーバーへの脅威と言う点だけで言えば、IISを利用して、JavaScriptをサーバー側で実行しない限りは、サーバーへの影響はありません。

rqg2010
質問者

お礼

返事遅くなり申し訳ありません。 ご丁寧に教えていただきありがとうございました。 とても参考になりました。

その他の回答 (4)

  • masa6272
  • ベストアンサー率66% (93/140)
回答No.4

ブラウザ上で稼動するJavaScriptで、アクセスできるローカルのファイルは、クッキーだけです。また、クッキーもサーバーが自分で発行したクッキーしか見えませんので、限定されたJavaScriptを動かしている分には、安全です。 今、クッキーを動かさないように設定したら、かなりのページをまともに見ることができません。クッキーを使うことに問題はありません。 むしろ、問題は掲示板などで問題はユーザーが入力した、スクリプトをそのまま表示する事でXSS等を仕込まれ、クッキー情報などを抜かれることです。これに関しては、表示時のタグの無効化などで対応可能です。

rqg2010
質問者

お礼

masa6272さん、今晩は。ご回答ありがとうございます。 >問題は掲示板などで問題はユーザーが入力した、スクリプトをそのまま表示する事でXSS等を仕込まれ、 このことについては、理解できます。 これも、クライアントサイドの危険性の門だと理解しています。 サーバー側の危険性とは無関係ですよね。 どうも、ご回答ありがとうございました。

  • redfox63
  • ベストアンサー率71% (1325/1856)
回答No.3

WebサーバーがIISでサーバーサイドのスクリプトにJavaScriptを使っている場合に『脆弱性』があるコードが書かれていた場合サーバー側も危険にさらされることがあります 『バッファオーバーランなどによる未定義の動作』などが該当するでしょう

rqg2010
質問者

お礼

redfox63さん、レスありがとうございます。 私のプロバイダは、IISではありませんが、 今まで解答いただいた方は、サーバー側には危険性がないというご意見だったのですが、それと異なったご指摘を頂き、どのようなことなのか更に詳しくお尋ねしたく思います。 >『バッファオーバーランなどによる未定義の動作』などが該当するでしょう ググッテみました。かなり悪意を持って、かつ、PC、NETに関わる知識が豊富で、かつ、IISが使用されていて、かつ、タイミングの問題に関することと認識しましたが、いかがなものでしょうか。 わずかでも、サーバーが危険にさらされる可能性があるとすると、その危険性について、検証をしておきたいのですが。私の理解したところは、理解不足でしょうか。 よろしかったら、ご回答お願いいたします。

  • pu--n
  • ベストアンサー率56% (32/57)
回答No.2

こんにちわ。 No1の方と同様です。チョット補足します。 結論から言うと、クライアント側にリスクがつきます。 要するにHPを閲覧するPC側、Javascriptが実行されるPC側です。 ご存じの通り、Javascriptはプログラミングです。HTMLを補足するだけではなく、一般のアプリケーションプログラムとしてブラウザ内で稼働することができます。その気になれば給与計算や経理処理も可能です。(まず居ないと思いますが) 従って、開発側ではJavascriptコードを書き(作成し)、サーバー側ではJavascriptコードが保存されるだけで、閲覧(実行)しない限り何ら問題は発生しないはずです。

rqg2010
質問者

お礼

pu--nさん、貴重なレスありがとうございます。 >結論から言うと、クライアント側にリスクがつきます。 そうですよね。 それならばわかります。 心強いご意見ありがとうございました。

  • Tasuke22
  • ベストアンサー率33% (1799/5383)
回答No.1

サーバーに危険は無いでしょう。 開発マシンは完全に蚊帳の外でしょう。 ファイルの閲覧の危険性は、サーバーマシンで動いて いるwebサーバやFTPサーバやルータの問題であって Javascriptの問題ではないでしょう。 勿論、運用中のサーバの弱点を知っている人がサーバに 悪さするコードをあえて書いていれば、その限りではな いでしょう。

rqg2010
質問者

お礼

Tasuke22さん、早速レスありがとうございます。 >ファイルの閲覧の危険性は、サーバーマシンで動いて >るwebサーバやFTPサーバやルータの問題であって >Javascriptの問題ではないでしょう。 具体的に書いていただき、ありがとうございます。 このように書いていただければ、私もその通りと思いますが、 表現というのは大切ですよね。 どうもありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. プログラミング・開発
  4. JavaScript

関連するQ&A

  • JavaScriptで可能かどうか分かりますでしょうか?

    初めて質問させて頂きます。よろしくお願いします。 今、社内LANで外部公開していないHPがあります。社内サーバーで管理しています。 その中で複数人のメンバーが、そのHP内の特定サイト(例えば今日の周知など)にアクセスして、それぞれの人がそのページを開いたかどうかの確認をできないかと考えています。 例えは、特定サイト内で【確認】のボタンを作って、そのボタンを押した人は、そのボタンがなくなるとか、閲覧済みと画面に表示されたりとか。また、特定サイトに入る前にログインしてから、【確認】ボタンをクリックをするとか。 CGIを使えばできそうと教えて頂いたのですが、なんとか工夫をしてJavaScriptで出来ないものかなと思っています。 JavaScriptで無理なら無理とはっきり言ってもらえれば、別の方法を探そうと思いますので、JavaScriptの詳しい方がおられましたら、何卒よろしくお願い致します。

  • JavaScriptが動きません

    下記のようなJavaScriptを作りましたが、IE8ではボタンを押しても「ようこそJavaScriptへ」が表示されません。 「F12 Web開発者ツール」というのをチョッとイジったのですが、その為ではないかと思います。 どこをどうイジったか覚えてません。 どうすれば動作するようになるでしょうか、教えてください。 動作状況  サーバーに置いてアクセスした場合は、「FireFox」「IE8」とも表示される。  ローカルデスクに置いてアクセスした場合は、「FireFox」では表示される、「IE8」では表示されない。 ☆OSはWindowsXP。 ☆IE8のセキュリティ設定で「アクティブスクリプト」は「有効にする」になってます。 ------JavaScript----------- <HTML> <BODY> <FORM> <P> <INPUT TYPE="submit" VALUE="ここを押すとメッセージが表示されます" ONCLICK="HelloWorld()"> </FORM> </BODY> </HTML> <SCRIPT LANGUAGE="JavaScript"> <!--Hide script from no-JavaScript browsers function HelloWorld() { alert("ようこそJavaScriptへ"); } //--> </SCRIPT>

  • JavaScriptについて教えてください

    勤務先の会社のサイトで給料明細を見ようとすると下記のメッセージが表示されます。 ↓↓↓↓↓ [I3013]このブラウザーでは、JavaScriptが無効になっています。 ブラウザーの オプションを変更してJavaScriptを有効にし、ブラウザーの再起動を行ってからアクセス してください。 ----------------------------- 調べるとJavaScriptは有効になっていました。 再起動しても同じメッセージが出て閲覧できません。 ブラウザはIE9です。 有効になっているのに同じメッセージが出るということは このパソコンでは見れないのでしょうか? 宜しくお願いします、

  • コンピューターが危険にさらされている

    パソコンを起動すると、 毎回「コンピューターが危険にさらされている可能性があります」という表示がでてきます。 その下に「Norton Internet Securityが無効になっています」 それをクリックするとウイルス対策のところが無効になっていました。 このような場合どうすればいいのでしょうか? やはりこのまま放っておくのは危険でしょうか? 全くわからないので、教えていただけたら幸いです。

  • IE6.0でJavaScriptを無効にできない

    IE6.0でJavaScriptを無効にできません。 「ツール」→「インターネットオプション」→「セキュリティー・タブ」→「既定のレベル」→「高」 これでJavaScriptが無効になると思ってたのですが、 例えば以下のようなサンプルをIEで開くと、ちゃんとJavaScriptが動作して、アラートが表示されるのです。 レベルの設定は、念のため、インターネット、イントラネット・・・4つのゾーン全てにレベル高を設定しました。 <html> <input type="button" onClick="alert('テスト')" value="テスト"> </html> JavaScriptを無効にする方法を教えてください。

  • Macの「IE5.x」の使用は危険?

     「サイトが文字化けしています」と問い合わせたら,ネットスケープで見て下さいとのこと。そして「一般論としてですが、Macの「IE5.x」は開発元のMicrosoft社がサポートをやめてしまったブラウザであり、セキュリティ上使い続けることは 危険ですのであまりお勧めできません。」というお知らせがありました。危険なのでしょうか。

    • ベストアンサー
    • Mac
  • Eclipseでjavascriptが動かない

    Eclipse(vrs.2.1.3)から立ち上げたPHPのプログラムでjavascriptの部分が動きません。 Win2003サーバで開発しています。PHPのプログラムを直接立ち上げた場合はちゃんと動くのですが、Eclipseを通すと動いてくれないのです。 まったく同じ設定でWinXPマシンではちゃんと動いてくれます。 何か設定がまずいのでしょうか。ご存知の方アドバイスをお願いします。

  • FTPの危険性

    現在、FTPサーバーをたてているのですが、FTPは平文で送るから危険、という話をちょくちょく聞きます。 そこで疑問なのですが、具体的にはどのような人がどのようにしてそれを知ることができるから危険なのでしょうか?例えば、同じネットワーク(LAN)の中の人に読み取られるということでしょうか? 回答次第ではSSHなど(仮決定)を導入しようかと検討中です。

  • javascriptでスクロール

    下記のhtmlソースでjavascriptでスクロールしてトップに戻るリンクを作ったんですが、WinのIEではスクリプトが効かずnoscript内の通常のアンカーが有効になってしまいます。 Firefoxではjavascriptの有効無効を判断して思った通りに動きます。WinIEでもjavascriptが有効のときはスクロールし、無効の時は通常のアンカーになるようにするにはどうすればいいのでしょうか? WinIEはセキュリティの設定でjavascriptを有効にしてあります。 <script language=javascript> <!-- document.write('<a href="javascript:pageup()">pagetop</a>'); //--> </script> <noscript> <a href="#pagetop">pagetop</a> </noscript>

  • IEでjavascriptが有効になっているのに、機能しません

    IE6サービスパック1を使用しております。 ノートンのインターネットセキュリティーを インストールしておりましたが、 ウィルスバスター2004に乗り換えようと思い、 評価版をダウンロードしました。 その評価版をインストールした際、インターネット セキュリティーを指示されるがままに アンインストールしました。 これをきっかけに、IEがjavascriptを 認識しなくなってしまいました。 IEの設定上はjavascriptは 有効になっています。セキュリティ レベルは全てのゾーンで「中」ですし、 SSLの設定も有効になっています。 ウィルスバスターのパーソナルファイヤー ウォールは、無効にしてあります。 すでにインターネットセキュリティーは アンインストールしてしまったため、 設定の見直しなどができません。 代替として、ネットスケープナビゲータを 使用しておりますが、こちらでは、 javascriptは認識されます。 しかし、ネスケをサポートしていない、 インターネットサービスを使用している もので、なんとかIEを復旧させたいと 考えております。 恐縮ですが、皆様のお知恵を拝借できれば 幸いです。よろしくお願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する