Bạn có nên tắt Javascript trên trình duyệt?

Bạn đang lướt Facebook và bỗng dưng bị một người bạn trên Facebook thêm vào một group có tên gọi “Ai quan tâm đến bạn”, hoặc bỗng dưng bị tag trong phần comment của một bức ảnh rất “không liên quan”. Rất có thể, đây là một vụ “tấn công” qua JavaScript. Vậy, JavaScript là gì và bạn có nên tắt JavaScript trên trình duyệt?

Nói ngắn gọn, câu trả lời là “không”! Là 1 trong 3 thành phần chủ yếu của môi trường web hiện đại, JavaScript sẽ đảm nhiệm nhiệm vụ tương tác động cho trang web của bạn (2 thành phần còn lại bao gồm: HTML dùng để hiển thị nội dung và CSS phục vụ cho giao diện). Việc tắt JavaScript sẽ chỉ giúp cải thiện tính bảo mật rất ít song lại làm hỏng trải nghiệm web của bạn.

Hãy cùng hiểu thật rõ về JavaScript và cách tránh bị “tấn công” qua JavaScript qua bài viết dưới đây của trang How To Geek do VnReview lược dịch:

JavaScript là gì?

Khả năng tự động tải bài viết là nhờ có JavaScript

JavaScript là một ngôn ngữ lập trình đầy đủ tính năng được sử dụng trên web. Lúc đầu, JavaScript được sử dụng để thực hiện các tác vụ đơn giản như hiển thị ô thông tin giải thích mỗi khi bạn di chuột ngang qua một nút bấm, một ô dữ liệu… nào đó trên trang web.

Đến giờ, JavaScript đã trở nên mạnh mẽ hơn rất nhiều. Nhiều ứng dụng web mạnh mẽ cần tới JavaScript. Khả năng tải nội dung động (ví dụ, khi bạn lướt Facebook đến cuối trang, các status cũ hơn sẽ tự động tải) là nhờ có JavaScript. Khả năng tương tác động giữa trang web và người dùng (ví dụ, khả năng tự động đưa ra gợi ý khi tìm kiếm của Google.com) cũng là nhờ có JavaScript.

Vì sao lại có người muốn tắt JavaScript trên trình duyệt?

Như đã nói ở trên, JavaScript là một ngôn ngữ lập trình đầy đủ tính năng được tích hợp vào trình duyệt. Do đó, khả năng xảy ra lỗ hổng bảo mật trên JavaScript là hoàn toàn có thật. Song, bạn chỉ có thể bị tấn công qua JavaScript nếu như trình duyệt của bạn có lỗ hổng bảo mật liên quan tới cơ chế (engine) hoạt động của JavaScript – một điều rất hiếm khi xảy ra. Phần lớn các trang web đều sử dụng JavaScript, và tất cả các lỗ hổng bảo mật liên quan tới JavaScript đều được vá rất nhanh.

Tất cả các trình duyệt đều cung cấp khả năng tắt Javascript. Trong ảnh: Firefox.

Cần phải lưu ý rằng, JavaScript hoàn toàn không liên quan gì tới ngôn ngữ lập trình Java. JavaScript được đặt tên theo Java nhằm mục đích marketing, song cách hoạt động và môi trường hoạt động của 2 ngôn ngữ này cũng hoàn toàn khác nhau. Trong khi plugin Java là một trong những nguyên nhân lớn nhất gây lây nhiễm mã độc qua mạng, khả năng bạn bị lây nhiễm virus từ web vào Windows, Android hay các hệ điều hành khác thông qua JavaScript là gần như bằng 0. Bạn có thể (và nên) xóa bỏ plugin Java, song JavaScript là một phần không thể thiếu của tất cả các trình duyệt web.

Cuối cùng, tắt JavaScript có thể giúp loại bỏ các mẩu quảng cáo có thể dẫn tới địa chỉ chứa mã độc trên trang web. Song, nếu muốn làm như vậy bạn có thể sử dụng tới các tiện ích chặn quảng cáo mở rộng đáng tin cậy như Adblock Plus, thay vì tắt toàn bộ JavaScript.

Điều gì sẽ xảy ra khi bạn tắt JavaScript trên trình duyệt?

Nếu tắt JavaScript, trình duyệt sẽ hoạt động không đúng theo thiết kế của các nhà phát triển và chắc chắn sẽ làm hỏng trải nghiệm web của bạn. Khi tắt JavaScript, bạn không thể sử dụng được các ứng dụng nền web như Google Docs, và cũng có thể sẽ mất khả năng đăng nhập, đăng tải bình luận hoặc gửi yêu cầu tải nội dung động trên một số trang web.

Tìm kiếm hình ảnh trên Google khi bật JavaScript

Ví dụ, khi bạn sử dụng Google để tìm kiếm hình ảnh, khi bạn kéo xuống cuối trang, các kết quả tiếp theo sẽ được tự động tải. Lý do là nhờ có JavaScript, trình duyệt của bạn có thể tự động gửi yêu cầu tải dữ liệu tới máy chủ Google ngay khi bạn kéo xuống cuối trang. Thông qua JavaScript, các bức ảnh tiếp theo sẽ được tải về và hiển thị trên trang web. Bằng cách này, Google không phải tải về trình duyệt của bạn một trang web mới đầy đủ (chỉ phải gửi thêm các bức ảnh mới) và nhờ đó tiết kiệm được băng thông.

Khi click vào một bức ảnh nào đó trên trang tìm kiếm, bức ảnh này cũng sẽ được hiển thị dạng đầy đủ trên trang Google hiện tại. Một lần nữa, bạn không bị buộc phải chuyển trang, đồng thời cũng được tận hưởng một trải nghiệm web tiện dụng hơn rất nhiều.

Tìm kiếm hình ảnh khi không có Javascript

Khi tắt JavaScript, bạn sẽ phải nhấn “Next” (hoặc vào số trang) để sang trang tiếp theo để xem các kết quả mới. Khi bạn click vào một bức ảnh nào đó, bức ảnh này sẽ không được phóng to ngay trên trang Google của bạn, thay vào đó trình duyệt sẽ tải một trang web mới hoàn toàn. Trải nghiệm web không có JavaScript khó chịu hơn rất nhiều và cũng tốn băng thông hơn.

Đây chỉ là một trong các ví dụ về tác hại của việc tắt JavaScript trên trình duyệt. Rất nhiều trang web khác sẽ không hoạt động khi bạn tắt JavaScript. Facebook sẽ không tự động tải các status cũ hơn, 9gag sẽ không tải các bức ảnh tiếp theo, Gmail sẽ không gợi ý tên người nhận khi bạn tắt JavaScript.v.v…

Tại sao bạn lại bị tag “vô tội vạ”, bị add vào một nhóm lạ trên Facebook?

Ở đầu bài viết, chúng ta đã nhắc tới hiện tượng bạn bị một người bạn-trên-Facebook tag vào phần comment của một câu trạng thái hoặc một bức ảnh hoàn toàn không liên quan tới bạn và người bạn kia. Bạn cũng có thể bỗng dưng bị ai đó thêm vào (add) một nhóm “lạ” trên Facebook, có những cái tên rất đáng ngờ như “Ai quan tâm đến bạn nhiều nhất” hoặc “Nội dung 18 “. Rất có thể, trong trường hợp này, bạn đã bị “tấn công” thông qua JavaScript, song lỗi trong trường hợp này không đến từ JavaScript hay trình duyệt mà là từ người bạn-Facebook của bạn.

Khi bị lừa làm các bước này, bạn sẽ vô tình tag hoặc thêm bạn bè vào các nhóm không liên quan tới họ

JavaScript là ngôn ngữ được thiết kế để đảm nhiệm nhiệm vụ tương tác động trên trang web. Điều này có nghĩa rằng những người có hiểu biết về web hoàn toàn có thể viết ra các đoạn mã JavaScript (hoặc JQuery – một thư viện con của JavaScript) để “Like” tất cả các status có trên News Feed hiện thời của họ. Họ cũng có thể viết JavaScript để comment “Tôi thích điều này” vào tất cả các bài viết trên một trang cá nhân nào đó.

Song, họ chỉ có thể chạy các đoạn mã JavaScript này trên trình duyệt mà họ đang trực tiếp sử dụng. Họ không thể phát tán mã JavaScript qua trình duyệt một cách tự động như virus, cũng không thể tự chèn các đoạn mã JavaScript này vào trang Facebook của người khác để chúng có thể chạy tự động trên máy của nạn nhân. Thay vào đó, nạn nhân phải tự trực tiếp chạy các đoạn mã nguồn này.

Bởi vậy, những kẻ có ý đồ xấu sẽ lập ra những Fanpage (trang hâm mộ) hoặc những group (nhóm) Facebook có tên gọi đánh trúng vào tâm lý của người dùng, ví dụ như: “Ai đang quan tâm đến bạn nhiều nhất”, “Làm thế nào để tạo ra nút Dislike trên Facebook” v…v… Chúng sẽ nói rằng, bạn cần phải copy một đoạn mã và dán vào ô địa chỉ, hoặc chạy trên bảng console tích hợp trên Chrome và Firefox. Các đoạn mã này sẽ tag bạn bè của nạn nhân vào các câu comment hoặc tự add họ vào các group “lạ” trên Facebook. Các fanpage, group này sẽ được kẻ xấu đổi tên rồi bán lại hoặc sử dụng vào các mục đích xấu khác, bao gồm cả các mục đích lừa đảo.

Nút Dislike cũng là một miếng mồi nhử khác hiệu quả để lừa người dùng Facebook nhẹ dạ

Tóm lại, các vụ tấn công trong trường hợp này không phải là do máy vi tính có lỗ hổng phần mềm và tự bị nhiễm mã độc, mà là do con người nhẹ dạ cả tin. Có thể ví von rằng, đây không phải là một virus tự động lây nhiễm khi bạn cắm USB vào máy, mà là một con virus bị kích hoạt khi chính bạn nhấp chuột vào một phần mềm có tên anhkheugoi.exe trên Windows của mình.

Cần phải làm gì để tránh bị nhiễm mã độc qua JavaScript?

Như đã khẳng định trong bài, JavaScript là một phần tất yếu giúp tạo ra môi trường web động có khả năng tương tác. Nếu bạn có thể chấp nhận sự thật rằng mã độc có thể lây lan qua Internet, bạn cũng sẽ dễ dàng chấp nhận sự thật rằng nguy cơ bảo mật tiềm ẩn trong JavaScript là có thật. Song, nguy cơ này là quá nhỏ, và do đó không đủ để bạn buộc phải hi sinh trải nghiệm web hiện đại của mình.

Trong phần lớn các vụ tấn công qua trình duyệt, việc tắt JavaScript gần như chắc chắn sẽ không giúp giảm thiểu nguy cơ bảo mật. Các vụ nhiễm mã độc qua trình duyệt chủ yếu là do lỗ hổng bảo mật của trình duyệt hoặc plugin, đặc biệt là plugin Java. Nếu lo ngại về các lỗ hổng này, bạn có thể lướt web qua các chương trình đọc văn bản thuần (chỉ có chữ) như w3m, song chắc chắn sẽ chẳng có mấy ai muốn tự làm những điều điên khùng như vậy cả.

Khi tham gia vào các mạng xã hội, hãy tránh xa các ứng dụng, các fanpage và các group (nhóm) khuyến cáo bạn nên copy một đoạn mã nguồn nào đó và paste vào thanh địa chỉ hoặc console của trình duyệt. Rất có thể đây là các đoạn mã JavaScript có thể tag bạn bè của bạn vào bài viết hoặc add vào group không xác thực nhằm sử dụng cho mục đích xấu.

Trước khi thực hiện các “hướng dẫn” của các trang web đáng ngờ, hãy luôn biết cách tự đặt câu hỏi cho bản thân: Nếu Facebook thực sự muốn ra mắt nút Dislike, tại sao Mark Zuckerberg không công bố qua các kênh chính thống mà lại phải nhờ tới các fanpage không tên tuổi thông báo “hộ”? Nếu mạng xã hội số 1 hành tinh thực sự muốn cho bạn biết ai đã theo dõi bạn nhiều nhất, tại sao lại không có một ứng dụng chính thống nào cung cấp tính năng này? Việc suy nghĩ chín chắn trong các trường hợp sử dụng đáng nghi ngờ sẽ là chìa khóa tốt nhất giúp bạn tránh được một trải nghiệm web khó chịu cho chính mình và cho bạn bè.

Theo Vnreview

Google mở rộng chương trình thưởng tiền sang cả Chromium OSGoogle cho biết, cả chương trình thưởng tiền phát hiện lỗi bảo mật web và trình duyệt Chromium của mình đều thành công lớn. Được cổ vũ bởi sự thành công từ các chương trình thưởng tiền phát hiện lỗi bảo mật web và trình duyệt Chromium của mình, Google đã quyết định mở rộng phạm vi của chúng để bao gồm cả...