- ベストアンサー
JavaScriptを使用することの危険性
お世話になります。 開発マシン->ftp->サーバーコンピュータ という形でHPを公開しています。 この時、公開するhtmlでJavaScriptを使うことによって、開発マシンにある重要なファイルが閲覧されてしまう、盗まれてしまうといった危険性があるのでしょうか。 職場でHPを開発しているのですが、IEのセキュリティーレベルで「JavaScriptを無効にする」という設定があるためJavaScriptが危険だと主張して引かない人がいます。この危険性は、HPを閲覧する人のマシンに対してであって、サーバーコンピュータへの危険ではないはずなのですが。また、webで検索をかけると、JavaScriptの危険性についていくつか出てきます。これも、閲覧する人のマシンが危険ということだと思うのですが。 JavaScriptを使用することによるセキュリティー上の問題がサーバーコンピュータ、そして開発用マシンに対して考えられるのでしょうか。 よろしくお願いいたします。
- rqg2010
- お礼率77% (283/364)
- JavaScript
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
>私のプロバイダは、IISではありませんが、 IISはプロパイダのことではありません。 IISとは(簡単な説明ですが) http://e-words.jp/w/IIS.html >ググッテみました。かなり悪意を持って、かつ、PC、NETに関わる知識が豊富で、かつ、IISが使用されていて、かつ、タイミングの問題に関することと認識しましたが、いかがなものでしょうか。 悪意ある人が狙って行えば危険な行為で、正しい認識ですが、「タイミングの問題」は違います。 バッファーオーバーランとは(簡単な説明ですが) http://e-words.jp/w/E38390E38383E38395E382A1E382AAE383BCE38390E383BCE383A9E383B3.html JavaScriptによる、サーバーへの脅威と言う点だけで言えば、IISを利用して、JavaScriptをサーバー側で実行しない限りは、サーバーへの影響はありません。
その他の回答 (4)
- masa6272
- ベストアンサー率66% (93/140)
ブラウザ上で稼動するJavaScriptで、アクセスできるローカルのファイルは、クッキーだけです。また、クッキーもサーバーが自分で発行したクッキーしか見えませんので、限定されたJavaScriptを動かしている分には、安全です。 今、クッキーを動かさないように設定したら、かなりのページをまともに見ることができません。クッキーを使うことに問題はありません。 むしろ、問題は掲示板などで問題はユーザーが入力した、スクリプトをそのまま表示する事でXSS等を仕込まれ、クッキー情報などを抜かれることです。これに関しては、表示時のタグの無効化などで対応可能です。
お礼
masa6272さん、今晩は。ご回答ありがとうございます。 >問題は掲示板などで問題はユーザーが入力した、スクリプトをそのまま表示する事でXSS等を仕込まれ、 このことについては、理解できます。 これも、クライアントサイドの危険性の門だと理解しています。 サーバー側の危険性とは無関係ですよね。 どうも、ご回答ありがとうございました。
- redfox63
- ベストアンサー率71% (1325/1856)
WebサーバーがIISでサーバーサイドのスクリプトにJavaScriptを使っている場合に『脆弱性』があるコードが書かれていた場合サーバー側も危険にさらされることがあります 『バッファオーバーランなどによる未定義の動作』などが該当するでしょう
お礼
redfox63さん、レスありがとうございます。 私のプロバイダは、IISではありませんが、 今まで解答いただいた方は、サーバー側には危険性がないというご意見だったのですが、それと異なったご指摘を頂き、どのようなことなのか更に詳しくお尋ねしたく思います。 >『バッファオーバーランなどによる未定義の動作』などが該当するでしょう ググッテみました。かなり悪意を持って、かつ、PC、NETに関わる知識が豊富で、かつ、IISが使用されていて、かつ、タイミングの問題に関することと認識しましたが、いかがなものでしょうか。 わずかでも、サーバーが危険にさらされる可能性があるとすると、その危険性について、検証をしておきたいのですが。私の理解したところは、理解不足でしょうか。 よろしかったら、ご回答お願いいたします。
- pu--n
- ベストアンサー率56% (32/57)
こんにちわ。 No1の方と同様です。チョット補足します。 結論から言うと、クライアント側にリスクがつきます。 要するにHPを閲覧するPC側、Javascriptが実行されるPC側です。 ご存じの通り、Javascriptはプログラミングです。HTMLを補足するだけではなく、一般のアプリケーションプログラムとしてブラウザ内で稼働することができます。その気になれば給与計算や経理処理も可能です。(まず居ないと思いますが) 従って、開発側ではJavascriptコードを書き(作成し)、サーバー側ではJavascriptコードが保存されるだけで、閲覧(実行)しない限り何ら問題は発生しないはずです。
お礼
pu--nさん、貴重なレスありがとうございます。 >結論から言うと、クライアント側にリスクがつきます。 そうですよね。 それならばわかります。 心強いご意見ありがとうございました。
- Tasuke22
- ベストアンサー率33% (1799/5383)
サーバーに危険は無いでしょう。 開発マシンは完全に蚊帳の外でしょう。 ファイルの閲覧の危険性は、サーバーマシンで動いて いるwebサーバやFTPサーバやルータの問題であって Javascriptの問題ではないでしょう。 勿論、運用中のサーバの弱点を知っている人がサーバに 悪さするコードをあえて書いていれば、その限りではな いでしょう。
お礼
Tasuke22さん、早速レスありがとうございます。 >ファイルの閲覧の危険性は、サーバーマシンで動いて >るwebサーバやFTPサーバやルータの問題であって >Javascriptの問題ではないでしょう。 具体的に書いていただき、ありがとうございます。 このように書いていただければ、私もその通りと思いますが、 表現というのは大切ですよね。 どうもありがとうございました。
関連するQ&A
- JavaScriptで可能かどうか分かりますでしょうか?
初めて質問させて頂きます。よろしくお願いします。 今、社内LANで外部公開していないHPがあります。社内サーバーで管理しています。 その中で複数人のメンバーが、そのHP内の特定サイト(例えば今日の周知など)にアクセスして、それぞれの人がそのページを開いたかどうかの確認をできないかと考えています。 例えは、特定サイト内で【確認】のボタンを作って、そのボタンを押した人は、そのボタンがなくなるとか、閲覧済みと画面に表示されたりとか。また、特定サイトに入る前にログインしてから、【確認】ボタンをクリックをするとか。 CGIを使えばできそうと教えて頂いたのですが、なんとか工夫をしてJavaScriptで出来ないものかなと思っています。 JavaScriptで無理なら無理とはっきり言ってもらえれば、別の方法を探そうと思いますので、JavaScriptの詳しい方がおられましたら、何卒よろしくお願い致します。
- ベストアンサー
- JavaScript
- JavaScriptが動きません
下記のようなJavaScriptを作りましたが、IE8ではボタンを押しても「ようこそJavaScriptへ」が表示されません。 「F12 Web開発者ツール」というのをチョッとイジったのですが、その為ではないかと思います。 どこをどうイジったか覚えてません。 どうすれば動作するようになるでしょうか、教えてください。 動作状況 サーバーに置いてアクセスした場合は、「FireFox」「IE8」とも表示される。 ローカルデスクに置いてアクセスした場合は、「FireFox」では表示される、「IE8」では表示されない。 ☆OSはWindowsXP。 ☆IE8のセキュリティ設定で「アクティブスクリプト」は「有効にする」になってます。 ------JavaScript----------- <HTML> <BODY> <FORM> <P> <INPUT TYPE="submit" VALUE="ここを押すとメッセージが表示されます" ONCLICK="HelloWorld()"> </FORM> </BODY> </HTML> <SCRIPT LANGUAGE="JavaScript"> <!--Hide script from no-JavaScript browsers function HelloWorld() { alert("ようこそJavaScriptへ"); } //--> </SCRIPT>
- 締切済み
- JavaScript
- JavaScriptについて教えてください
勤務先の会社のサイトで給料明細を見ようとすると下記のメッセージが表示されます。 ↓↓↓↓↓ [I3013]このブラウザーでは、JavaScriptが無効になっています。 ブラウザーの オプションを変更してJavaScriptを有効にし、ブラウザーの再起動を行ってからアクセス してください。 ----------------------------- 調べるとJavaScriptは有効になっていました。 再起動しても同じメッセージが出て閲覧できません。 ブラウザはIE9です。 有効になっているのに同じメッセージが出るということは このパソコンでは見れないのでしょうか? 宜しくお願いします、
- ベストアンサー
- JavaScript
- コンピューターが危険にさらされている
パソコンを起動すると、 毎回「コンピューターが危険にさらされている可能性があります」という表示がでてきます。 その下に「Norton Internet Securityが無効になっています」 それをクリックするとウイルス対策のところが無効になっていました。 このような場合どうすればいいのでしょうか? やはりこのまま放っておくのは危険でしょうか? 全くわからないので、教えていただけたら幸いです。
- ベストアンサー
- ウィルス・マルウェア
- IE6.0でJavaScriptを無効にできない
IE6.0でJavaScriptを無効にできません。 「ツール」→「インターネットオプション」→「セキュリティー・タブ」→「既定のレベル」→「高」 これでJavaScriptが無効になると思ってたのですが、 例えば以下のようなサンプルをIEで開くと、ちゃんとJavaScriptが動作して、アラートが表示されるのです。 レベルの設定は、念のため、インターネット、イントラネット・・・4つのゾーン全てにレベル高を設定しました。 <html> <input type="button" onClick="alert('テスト')" value="テスト"> </html> JavaScriptを無効にする方法を教えてください。
- ベストアンサー
- JavaScript
- Macの「IE5.x」の使用は危険?
「サイトが文字化けしています」と問い合わせたら,ネットスケープで見て下さいとのこと。そして「一般論としてですが、Macの「IE5.x」は開発元のMicrosoft社がサポートをやめてしまったブラウザであり、セキュリティ上使い続けることは 危険ですのであまりお勧めできません。」というお知らせがありました。危険なのでしょうか。
- ベストアンサー
- Mac
- Eclipseでjavascriptが動かない
Eclipse(vrs.2.1.3)から立ち上げたPHPのプログラムでjavascriptの部分が動きません。 Win2003サーバで開発しています。PHPのプログラムを直接立ち上げた場合はちゃんと動くのですが、Eclipseを通すと動いてくれないのです。 まったく同じ設定でWinXPマシンではちゃんと動いてくれます。 何か設定がまずいのでしょうか。ご存知の方アドバイスをお願いします。
- ベストアンサー
- JavaScript
- javascriptでスクロール
下記のhtmlソースでjavascriptでスクロールしてトップに戻るリンクを作ったんですが、WinのIEではスクリプトが効かずnoscript内の通常のアンカーが有効になってしまいます。 Firefoxではjavascriptの有効無効を判断して思った通りに動きます。WinIEでもjavascriptが有効のときはスクロールし、無効の時は通常のアンカーになるようにするにはどうすればいいのでしょうか? WinIEはセキュリティの設定でjavascriptを有効にしてあります。 <script language=javascript> <!-- document.write('<a href="javascript:pageup()">pagetop</a>'); //--> </script> <noscript> <a href="#pagetop">pagetop</a> </noscript>
- ベストアンサー
- JavaScript
- IEでjavascriptが有効になっているのに、機能しません
IE6サービスパック1を使用しております。 ノートンのインターネットセキュリティーを インストールしておりましたが、 ウィルスバスター2004に乗り換えようと思い、 評価版をダウンロードしました。 その評価版をインストールした際、インターネット セキュリティーを指示されるがままに アンインストールしました。 これをきっかけに、IEがjavascriptを 認識しなくなってしまいました。 IEの設定上はjavascriptは 有効になっています。セキュリティ レベルは全てのゾーンで「中」ですし、 SSLの設定も有効になっています。 ウィルスバスターのパーソナルファイヤー ウォールは、無効にしてあります。 すでにインターネットセキュリティーは アンインストールしてしまったため、 設定の見直しなどができません。 代替として、ネットスケープナビゲータを 使用しておりますが、こちらでは、 javascriptは認識されます。 しかし、ネスケをサポートしていない、 インターネットサービスを使用している もので、なんとかIEを復旧させたいと 考えております。 恐縮ですが、皆様のお知恵を拝借できれば 幸いです。よろしくお願いいたします。
- 締切済み
- ウィルス・マルウェア
お礼
返事遅くなり申し訳ありません。 ご丁寧に教えていただきありがとうございました。 とても参考になりました。