Esiste sicuramente un rischio: lo scripting consente essenzialmente l'esecuzione di codice sul browser. Le vulnerabilità vanno dalla lettura della cronologia del browser all'installazione di malware al phishing delle credenziali bancarie, ognuna delle quali può potenzialmente causare "danni" in qualche modo.

Tuttavia, dato che la maggior parte dei siti web di oggi si basa sullo scripting , c'è un'enorme perdita nella disattivazione degli script, fino a includere il sito che non viene più visualizzato nel browser. Inoltre, la disattivazione dello scripting non protegge da altri modi in cui accadono cose brutte al tuo computer, quindi il ritorno per l'inconveniente non è incredibilmente alto.

Probabilmente l'uso più comune dello scripting è l'analisi, che consente al webmaster di quel sito di ottenere informazioni su chi sta accedendo a quali pagine, migliorando così potenzialmente il flusso del sito e le informazioni presentate. Tuttavia, il rovescio della medaglia dell'analisi è la pubblicità mirata, che consente agli inserzionisti di seguire gli utenti su più siti.

La maggior parte degli script sui siti web sono "per lo più" innocui, proprio come lo è la maggior parte del software disponibile " per lo più innocuo. Gli addetti alla sicurezza si concentrano sul lato dannoso delle cose e apprendono continuamente che esiste un compromesso tra usabilità e sicurezza.

Quello che faccio personalmente è usare Firefox con i componenti aggiuntivi NoScript e Ghostery. Tra questi due - NoScript in particolare - la possibilità di avere script iniettati nella pagina che sto visualizzando è notevolmente ridotta. Mi aspetto ancora di essere picchiato a un certo punto, ma gli strumenti che ho faranno un lavoro ragionevole nel tenermi al corrente di ciò che sta accadendo finché continuerò a prestare attenzione.

Oggi molti siti richiedono lo scripting abilitato, altrimenti l'utente potrebbe riscontrare problemi con l'usabilità e la funzionalità generale del sito. Certo, puoi disabilitare JavaScript, ad esempio, ma anche questo non impedisce completamente di essere sfruttato. Inoltre dovresti disabilitare Java, Flash, cos'altro viene fornito come plugin e funzionalità aggiuntive. Ma questo renderebbe il browser abbastanza inutile oggi. In tempi recenti nei browser moderni sono disponibili soluzioni integrate che dovrebbero aumentare la sicurezza, come IE, Chrome anti-XSS. Per Firefox esiste la nota estensione " NoScript" che permette di gestire liste di siti che abilitano JavaScript / Flash / Java. Ma anche queste misure preventive non sono sufficienti: sono state aggirate e chissà quando la prossima volta. In questi giorni dovresti stare attento. A mio avviso, la soluzione migliore è navigare in Internet da Linux box all'interno della macchina virtuale. Ma questo ha un costo in termini di comodità.

Man-in-the-browser è il rischio numero uno. Direi che abilitare la distribuzione di malware più efficiente è secondario.

Cose come il Browser Exploitation Framework (BeEF) - http://www.bindshell.net/tools/beef/ - dovrebbe fornire una spiegazione migliore attraverso le sue implementazioni.

Se l'usabilità scende a zero, le persone troveranno un modo per aggirare il blocco anti-scripting. Come accennato prima, NoScript è un plug-in davvero interessante per consentire a determinati siti di eseguire script.

I download drive-by sono probabilmente un rischio molto maggiore per gli utenti non sofisticati. Non è necessario alcuno scripting per mostrare all'utente un falso lettore multimediale flash che dice "aggiornamento necessario" e quando l'utente fa clic sul falso "pulsante di riproduzione", scarica il malware che installa. Gioco finito.

E flash ha avuto una serie di buffer overflow e vulnerabilità.