Kwaadaardige javascript code?

Jij wil beweren dat code die willens en wetens het installeren van een virus veroorzaakt bij een enorm aantal mensen goedaardig is ofzo?

Ik snap dat je als JS-liefhebber liever ontkent dat je met javascript nare dingen kunt doen, maar ik vind dit een beetje op het lijken op het argument van "guns don't kill people, people kill people", een stelling die vooral verdedigd wordt door mensen die er persoonlijk belang bij hebben dat ze wapens kunnen blijven (ver)kopen en gebruiken.

Het punt is dat het niet aan JS ligt, deze doet waarschijnlijk alleen een document.write, welke per definitie niet gevaarlijk is. Dan zou html ook gevaarlkijk zijn omdat daar de link in staat.

Zonder js had dit virus ook bestaan, dan had activeX direct in de html gestaan.

Zie http://isc.incidents.org/...d302fb91826409b9e253919ec voor JS.

CrashOne schreef op 26 juni 2004 @ 08:07:
Het punt is dat het niet aan JS ligt, deze doet waarschijnlijk alleen een document.write, welke per definitie niet gevaarlijk is.

Blijkbaar toch wel, als tienduizenden mensen nu virussen krijgen door die specifieke document.write.

Dan zou html ook gevaarlkijk zijn omdat daar de link in staat.

Die specifieke html is idd. kwaadaardig als deze aangepast is om bij iemand een virus/trojan naar binnen te sluizen. Dat zegt niets over html in het algemeen.

Zonder js had dit virus ook bestaan, dan had activeX direct in de html gestaan.

Nou en? Zonder de Boeing 767 was het world trade center ook plat gegaan, dan hadden ze wel een 777 gebruikt. Lekker belangrijk hoe het ook had gekund, feit blijft dat de maker van dit virus een stuk javascript heeft gebouwd om te helpen met het verspreiden van zijn ding, en dat dat stuk code dus kwade bedoelingen heeft > kwaadaardig. Zo simpel is het.

[ Voor 8% gewijzigd door Wouter Tinus op 26-06-2004 08:58 ]

Omdat hier toch al een topic over loopt post ik het hier maar, hoewel lichtelijk offtopic:
In het artikel staat namelijk:

Net zoals zijn beruchte broertjes Sasser en Blaster verspreidt dit virus niet via de mail, maar via het bezoeken van geïnfecteerde websites.

Dit klopt toch niet

Sasser en Blaster waren volgens mij gewoon ordinaire wormen, die in het wilde weg in het rond probeerden te connecten op exploitable windows machines.

Dit virus werkt via een gefingeerd plaatje met malicious javascript code, dat zich via webservers verspreid.

In mijn ogen echt iets heel anders. Kan iemand dit voor mij ophelderen?

(Ik heb dit bericht ook als reactie op het nieuwsbericht gepost, maar het leek me verstandig om het hier ook nog eens te doen)


Edit: Oh, wat stom, Crisp heeft het hier boven ook al gemeld

Nou ja, is het tenminste al 2 personen opgevallen

[ Voor 8% gewijzigd door dawuss op 27-06-2004 01:20 ]

crisp schreef op 26 juni 2004 @ 13:15:
Laat ik het zo zeggen: de indruk wordt gewekt dat javascript hier de boosdoener is, maar er zit veel meer achter. Het is gewoon kort-door-de-bocht om het zo te stellen.
Hiermee zet je een bepaalde techniek in een kwaad daglicht, terwijl de techniek an sich ongevaarlijk is. De combinatie met ActiveX en andere vormen van scripting tesamen met de exploits die het in IE mogelijk maken dat die technieken buiten de sandbox dingen kunnen doen is gevaarlijk.

[...]

Bottomline: de code is niet kwaadaardig, alleen in combinatie met andere technieken en dankzij bugs in IE kan het een situatie creeeren waardoor bv een ActiveX component buiten de sandbox dingen kan doen op een client - op dat moment komt er geen enkele javascript meer aan te pas; het ActiveX component bevat de werkelijk kwaadaardige code.

Haal dat stuk javascript dan maar eens weg uit de 'formule' van dit virus, en kijk hoe snel het zich dan verspreid... niet dus. Je hebt gelijk dat javascript op zich ongevaarlijk is, maar ActiveX op zich is ook ongevaarlijk. Zelfs een gat in Internet Explorer zorgt er niet voor dat je computer spontaan ontploft. Het is een keten van gebeurtenissen die uiteindelijk tot besmetting kan leiden. Wat het stukje javascript anders maakt dan de rest van de schakels in de ketting is het feit dat het dient als initiator. Door dat stukje javascript toe te voegen aan een HTML-pagina wordt het virus verspreid naar kwetsbare computers. Als jij dat onschuldig / goedaardig wil noemen dan weet ik het ook niet meer.

Het advies om javascript dan maar uit te schakelen is dan ook erg kortzichtig, dat is net zo iets als adviseren om maar de fiets te pakken omdat de motor van je auto kan ontploffen - en daarbij niet vermelden dat het alleen om auto's van merk X gaat.

Dat wordt helemaal niet geadviseerd, slechts aangegeven als mogelijke oplossing. Net als het gebruik van een alternatieve browser trouwens. Ook dat is echter geen advies (van ons), het is nl. niet onze taak om mensen te vertellen wat ze moeten doen of vinden.

de feedback op (overigens goedbedoelde) kritiek laat trouwens ook wel te wensen over...

Omdat je geen gelijk krijgt?

oh, dus het 1e nieuwsitem zegt ook niets over javascript in het algemeen? maar vervolgens wel aanraden javascript maar niet te gebruiken - we kunnen dus beter ook niet meer in een Boeing 767 stappen?

Nogmaal, werd helemaal niet aangeraden, en nee, het zegt inderdaad niets over javascript in het algemeen.

Het artikel is populistisch geschreven en gaat niet in op de belangrijke details; verkeerde interpretatie van de bron en slecht onderzoek noem ik dat. Raadpleeg dan liever eerst iemand met verstand van zaken en maak een wat diepgaander nieuwspost, dan onderscheid je je tenminste van de rest - iets wat we als Tnet toch graag willen?

Ja, maar het mag niet langer dan een uur duren, want dan zijn we 'veel te laat' en is het 'oud nieuws' en 'stond al op Fok' en 'dit heb ik gister al ingestuurd' en blablabla . FYI: we hebben hier ongelimiteerd budget en mankracht. Nieuwsposters krijgen niet het uurloon van l33t JS-coder zoals jij, en nee, we kunnen het ons dus niet veroorloven om aan ieder onderwerp een uitgebreid onderzoek te besteden, drie onafhankelijke experts raad te plegen en officiëel toestemming te vragen aan de Pro-JS Vereniging of we bepaalde dingen over JS wel mogen zeggen.

Taalkundig gezien valt de zin

Net zoals zijn beruchte broertjes Sasser en Blaster verspreidt dit virus niet via de mail, maar via het bezoeken van geïnfecteerde websites.

overigens wel te verdedigen, maar de ambiguïteit is wel erg groot inderdaad... wordt aangepast.

[ Voor 5% gewijzigd door Wouter Tinus op 27-06-2004 09:27 ]

crisp schreef op 27 juni 2004 @ 13:35:
[...]

Inderdaad, maar waarom wordt dat dan niet uitgelegd in het artikel? Nu wordt er enkel gesproken over javascript wat m.i. erg kort door de bocht is, of misschien zelfs maar de halve waarheid.
[...]
Juist op Tweakers.net is er ruimte om dieper op de technische details in te gaan in tegenstelling tot algemene nieuwssites. Juist door de Jip-en-Janneke taal die andere nieuwssites bezigen kan er een verkeerd beeld ontstaan en wordt er onnodig angst gezaaid. Een halve waarheid is nog geen waarheid.

Hier sluit ik mij volledig bij aan. Dit artikel is in mijn ogen redelijk oppervlakkig, terwijl ik mijn nieuws juist zo graag van Tweakers.net af haal omdat daar meestal wordt ingegaan op details die mij boeien

Overigens: De misvatting in het nieuwsbericht waar ik eerder over berichtte is in mijn ogen op een nette manier opgelost

crisp schreef op 27 juni 2004 @ 13:35:
Inderdaad, maar waarom wordt dat dan niet uitgelegd in het artikel? Nu wordt er enkel gesproken over javascript wat m.i. erg kort door de bocht is, of misschien zelfs maar de halve waarheid.

Ik citeer uit de nieuwspost:

Als een onwetende bezoeker een plaatje van de site bekijkt wordt de kwaadaardige code meegestuurd. Daarna wordt er contact gezocht met een ip-adres in Rusland of Noord-Amerika waarvandaan een keylogger wordt geïnstalleerd en het systeem wordt opengezet voor ongeautoriseerde toegang voor de aanvaller.

Hieruit blijkt volgens mij toch duidelijk dat er na het meesturen van de JS een tweede belangrijke stap plaats vindt, en zelfs dat die tweede stap degene is die de echte 'schade' veroorzaakt.

Ik reageer hier gewoon omdat ik van mening ben dat ik er inderdaad meer van weet dan degene die dit bericht heeft gepost, en zelfs meer dan degene die het originele bericht heeft geschreven. Ik leg me er dan ook niet graag bij neer als daar niets mee wordt gedaan omdat het bericht taalkundig correct zou zijn; het is gewoon eenzijdig en dat schaadt de objectiviteit naar mijn mening.

Ongetwijfeld weet je meer van Javascript af, maar daar gaat het hier eigenlijk niet om . Het gaat erom of hetgeen aan de hand is al dan niet correct verteld wordt in het bericht. Javascript krijgt misschien inderdaad meer wel 'schuld' dan het werkelijk verdient in die nieuwspost, maar de vraag is of dat storend c.q. schadelijk genoeg om een nieuwsposter op het matje te roepen of een wijziging van de tekst door te voeren. Ik denk persoonlijk dat dat niet echt het geval is.

Waar het mij uiteindelijk echter om gaat is dat ik bang ben dat mensen gewoonweg niet op de juiste manier worden geinformeerd omtrent dit soort zaken. Juist op Tweakers.net is er ruimte om dieper op de technische details in te gaan in tegenstelling tot algemene nieuwssites. Juist door de Jip-en-Janneke taal die andere nieuwssites bezigen kan er een verkeerd beeld ontstaan en wordt er onnodig angst gezaaid. Een halve waarheid is nog geen waarheid.

Persoonlijk zou ik ook graag T.net op hoog niveau zien, maar overschat de bezoekers niet. Als ik het in post over processors over een TLB heb dan weet volgens mij nog geen halve procent van de lezers waar ik het over heb, zelfs niet als ik afkorting zou uitschrijven. Om Jip-en-Janneke-taal kom je dus gewoon niet heen als je een breed publiek wil bereiken. Natuurlijk sluit dat niet uit dat je technische zaken vrij diep kunt bespreken, maar het is een hele kunst om dat te doen, een kunst die maar heel weinig mensen beheersen.

We zijn altijd op zoek naar mensen die zowel journalistiek sterk als technisch breed onderlegd zijn, maar die combinatie is vrij zeldzaam en degenen die er aan voldoen kunnen elders meer geld voor hun tijd krijgen. Onze nieuwsposters moeten het dus eigenlijk grotendeels van de lol hebben, en dat niet iedere post even diep gaat kun je ze dan ook moeilijk kwalijk nemen. Het zijn geen mensen die acht uur per dag achter hun bureau zitten, maar mensen die zitten met problemen als "morgenvroeg weer om 8:30 op school zijn" of "tentamen leren". Vaak hebben we daardoor al moeite genoeg om überhaubt de frontpage te vullen, dus de nadruk wordt dan niet gelegd op extra onderzoek en lange technische verhalen.

Er wordt wel gewerkt aan verdere professionalisering van de redactie, waarbij inhoudelijke controle ook scherper moet worden, maar dit is een moeilijke klus aangezien we ten eerste niet willen dat het (nog) langer gaat duren voor een post op de FP staat, ten tweede geen geld hebben om x man fulltime aan het werk te zetten, en ten derde wel willen dat het nog een beetje leuk blijft om te doen, zodat nieuwsposters niet massaal wegrennen.

CrashOne schreef op 26 juni 2004 @ 08:07:
Het punt is dat het niet aan JS ligt, deze doet waarschijnlijk alleen een document.write, welke per definitie niet gevaarlijk is. Dan zou html ook gevaarlkijk zijn omdat daar de link in staat.

Zonder js had dit virus ook bestaan, dan had activeX direct in de html gestaan.

Zie http://isc.incidents.org/...d302fb91826409b9e253919ec voor JS.

Een format is per definitie ook niet gevaarlijk, het herschrijven van de MBR ook niet. Net zoals het vanop afstand bestuurbaar zijn van je pc...

Punt is dat bijna alle ongevaarlijke dingen gevaarlijk kunnen worden als ze op een onterechte manier toegepast kunnen worden bij iemand die er NIET om gevraagd heeft.