• ベストアンサー

JavaScriptを使用することの危険性

お世話になります。 開発マシン->ftp->サーバーコンピュータ という形でHPを公開しています。  この時、公開するhtmlでJavaScriptを使うことによって、開発マシンにある重要なファイルが閲覧されてしまう、盗まれてしまうといった危険性があるのでしょうか。  職場でHPを開発しているのですが、IEのセキュリティーレベルで「JavaScriptを無効にする」という設定があるためJavaScriptが危険だと主張して引かない人がいます。この危険性は、HPを閲覧する人のマシンに対してであって、サーバーコンピュータへの危険ではないはずなのですが。また、webで検索をかけると、JavaScriptの危険性についていくつか出てきます。これも、閲覧する人のマシンが危険ということだと思うのですが。  JavaScriptを使用することによるセキュリティー上の問題がサーバーコンピュータ、そして開発用マシンに対して考えられるのでしょうか。 よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • HIRSYU
  • ベストアンサー率51% (45/87)
回答No.5

>私のプロバイダは、IISではありませんが、 IISはプロパイダのことではありません。 IISとは(簡単な説明ですが) http://e-words.jp/w/IIS.html >ググッテみました。かなり悪意を持って、かつ、PC、NETに関わる知識が豊富で、かつ、IISが使用されていて、かつ、タイミングの問題に関することと認識しましたが、いかがなものでしょうか。 悪意ある人が狙って行えば危険な行為で、正しい認識ですが、「タイミングの問題」は違います。 バッファーオーバーランとは(簡単な説明ですが) http://e-words.jp/w/E38390E38383E38395E382A1E382AAE383BCE38390E383BCE383A9E383B3.html JavaScriptによる、サーバーへの脅威と言う点だけで言えば、IISを利用して、JavaScriptをサーバー側で実行しない限りは、サーバーへの影響はありません。

rqg2010
質問者

お礼

返事遅くなり申し訳ありません。 ご丁寧に教えていただきありがとうございました。 とても参考になりました。

その他の回答 (4)

  • masa6272
  • ベストアンサー率66% (93/140)
回答No.4

ブラウザ上で稼動するJavaScriptで、アクセスできるローカルのファイルは、クッキーだけです。また、クッキーもサーバーが自分で発行したクッキーしか見えませんので、限定されたJavaScriptを動かしている分には、安全です。 今、クッキーを動かさないように設定したら、かなりのページをまともに見ることができません。クッキーを使うことに問題はありません。 むしろ、問題は掲示板などで問題はユーザーが入力した、スクリプトをそのまま表示する事でXSS等を仕込まれ、クッキー情報などを抜かれることです。これに関しては、表示時のタグの無効化などで対応可能です。

rqg2010
質問者

お礼

masa6272さん、今晩は。ご回答ありがとうございます。 >問題は掲示板などで問題はユーザーが入力した、スクリプトをそのまま表示する事でXSS等を仕込まれ、 このことについては、理解できます。 これも、クライアントサイドの危険性の門だと理解しています。 サーバー側の危険性とは無関係ですよね。 どうも、ご回答ありがとうございました。

  • redfox63
  • ベストアンサー率71% (1325/1856)
回答No.3

WebサーバーがIISでサーバーサイドのスクリプトにJavaScriptを使っている場合に『脆弱性』があるコードが書かれていた場合サーバー側も危険にさらされることがあります 『バッファオーバーランなどによる未定義の動作』などが該当するでしょう

rqg2010
質問者

お礼

redfox63さん、レスありがとうございます。 私のプロバイダは、IISではありませんが、 今まで解答いただいた方は、サーバー側には危険性がないというご意見だったのですが、それと異なったご指摘を頂き、どのようなことなのか更に詳しくお尋ねしたく思います。 >『バッファオーバーランなどによる未定義の動作』などが該当するでしょう ググッテみました。かなり悪意を持って、かつ、PC、NETに関わる知識が豊富で、かつ、IISが使用されていて、かつ、タイミングの問題に関することと認識しましたが、いかがなものでしょうか。 わずかでも、サーバーが危険にさらされる可能性があるとすると、その危険性について、検証をしておきたいのですが。私の理解したところは、理解不足でしょうか。 よろしかったら、ご回答お願いいたします。

  • pu--n
  • ベストアンサー率56% (32/57)
回答No.2

こんにちわ。 No1の方と同様です。チョット補足します。 結論から言うと、クライアント側にリスクがつきます。 要するにHPを閲覧するPC側、Javascriptが実行されるPC側です。 ご存じの通り、Javascriptはプログラミングです。HTMLを補足するだけではなく、一般のアプリケーションプログラムとしてブラウザ内で稼働することができます。その気になれば給与計算や経理処理も可能です。(まず居ないと思いますが) 従って、開発側ではJavascriptコードを書き(作成し)、サーバー側ではJavascriptコードが保存されるだけで、閲覧(実行)しない限り何ら問題は発生しないはずです。

rqg2010
質問者

お礼

pu--nさん、貴重なレスありがとうございます。 >結論から言うと、クライアント側にリスクがつきます。 そうですよね。 それならばわかります。 心強いご意見ありがとうございました。

  • Tasuke22
  • ベストアンサー率33% (1799/5383)
回答No.1

サーバーに危険は無いでしょう。 開発マシンは完全に蚊帳の外でしょう。 ファイルの閲覧の危険性は、サーバーマシンで動いて いるwebサーバやFTPサーバやルータの問題であって Javascriptの問題ではないでしょう。 勿論、運用中のサーバの弱点を知っている人がサーバに 悪さするコードをあえて書いていれば、その限りではな いでしょう。

rqg2010
質問者

お礼

Tasuke22さん、早速レスありがとうございます。 >ファイルの閲覧の危険性は、サーバーマシンで動いて >るwebサーバやFTPサーバやルータの問題であって >Javascriptの問題ではないでしょう。 具体的に書いていただき、ありがとうございます。 このように書いていただければ、私もその通りと思いますが、 表現というのは大切ですよね。 どうもありがとうございました。

関連するQ&A

専門家に質問してみよう