gevaarlijk mededeling!

[ajjp]

Kan iemand mij hierover adviseren, wat k moet doen?

Niets, behalve rustig gaan slapen. In gewone installaties van (X)ubuntu is liblog4j2-java niet geïnstalleerd. Ook eenvoudig te zien m.b.v. Synaptic.

[partyrabbit]

Niets, behalve rustig gaan slapen. In gewone installaties van (X)ubuntu is liblog4j2-java niet geïnstalleerd. Ook eenvoudig te zien m.b.v. Synaptic.

:thumbsup: Dat zei ik in reactie #3 ook al 

[Bloom]

https://www.vrt.be/vrtnws/nl/2021/12/20/defensie-slachtoffer-zware-cyberaanval-deel-netwerk-al-dagen-pl/

De Belgische defensie en met name de inlichtingendienst AVID met als wapenspreuk "Aliter Videmus Mundum" (wij zien de wereld anders) is getroffen door een "cyberaanval" via de log4j kwetsbaarheid en bewijst daarmee dat ze onbenullen zijn op IT-gebied.
Ofwel hebben de patch daarvoor niet tijdig geïnstalleerd, ofwel draaien ze Apache onder Linux niet in een sandbox of tenminste met een eigen user maar met root, ofwel draaien ze Apache onder Windows. Allemaal erg en tekenen van onkunde. Ik hoop niet dat ze dat bedoelen met de wereld anders zien.

[MKe]

Ik ben zowiezo geen voorstander van javascript en java, zoals je hier ook al kunt lezen. Deze zijn altijd al kwetsbaar gebleken, en dienen alleen maar voor 'rommel' software waar ik toch niets van hoef (advertenties en zo).

Een fout die ik veel gebruikers zie maken. Java heeft absoluut niets met JavaScript te maken. Java is een veel gebruikte programmeertaal, vergelijkbaar met Python, C etc. Er is normaal gesproken dan ook niets mis met Java en programma’s die in Java geschreven worden en netjes via de repos worden geïnstalleerd.  Het enige is dat er ooit een techniek was die Java in de browser kon runnen, Java applets genaamd. Maar ik zie dat niet meer vaak gebruikt worden.

Het huidige lek had dus ook in b.v. Python kunnen gebeuren.

Overigens vindt ik ook dat JavaScript an sich vaak te negatief wordt bekeken. Zonder JavaScript had je dit forum b.v. ook niet gehad en zou Google, DuckDuckGo etc ook niet bestaan.

[Bloom]

De kwetsbaarheid in log4j is wel degelijk Java. En Netscape koos de naam JavaScript indertijd wel degelijk om een associatie te krijgen met de Java applets die toen opgang maakten. Voordien heette het LiveScript. Persoonlijk had ik liever gezien dat de naam JavaScript door nog iets anders vervangen geworden was, juist om de verwarring met Java te vermijden.

En JavaScript heeft zeker zijn diensten bewezen. Het probleem zit in het feit dat iedere website of onderdeel daarvan (zoals reclamebanners en andere dingen van derde partijen) JavaScript kunnen uitvoeren op jouw browser en dat daar ook opdrachten in zitten waarmee elk bestand waar de browser toegang heeft, gelezen of overschreven of gewist kan worden. Zéér handig dus om malware in een Windows systeem te krijgen, maar ook in Linux kan er heel wat ellende in een homedirectory aangericht worden. Daarom draai ik ScriptSafe in Chromium en NoScript in Firefox om JavaScript standaard voor iedere website te blokkeren, behalve waar ik het toesta.

[partyrabbit]

Ben het helemaal met je eens MKe.
Alleen niet met deze stelling...

Overigens vindt ik ook dat JavaScript an sich vaak te negatief wordt bekeken.

Javascript heeft zich te vaak negatief bewezen. Daardoor wordt er negatief naar gekeken. Er is geen sprake van zomaar negatief kijken.
Ja, kunnen we nog bediscussieren of het javascript's schuld was dat reclamemakers zooi uitvraten, maar dan nog faciliteerde javascript dit allemaal veel te makkelijk. Javascript heeft al zijn hele bestaan een aanzienlijke rol gespeeld in de verspreiding van virussen.
En nog steeds de reden dat ik zo'n fanatiek fan ben van NoScript. 

[markba]

Intussen zijn er hele applicaties en platforms geschreven in javascript. Denk aan een editor als Visual Studio Code, geschreven in Electron/NPM (https://www.electronjs.org/apps). Of web-frameworks als Angular.js of Vue.js. Javascript is here to stay....

[partyrabbit]

Ja inderdaad, sommige websites geven hier een volledig wit scherm  Omdat alles geblockt wordt omdat ze in de kern al zo veel op js draaien.
Ik mis zulke websites niet, want ik beschouw ze als in potentie onveilig  (en niet alleen ik)
Love NoScript 

[markba]

Ja inderdaad, sommige websites geven hier een volledig wit scherm  Omdat alles geblockt wordt omdat ze in de kern al zo veel op js draaien.
Ik mis zulke websites niet, want ik beschouw ze als in potentie onveilig  (en niet alleen ik)
Love NoScript 

Jij snapt het niet helemaal wat ik schrijf. Als je een website maakt met Vue.js (= javascript), dan draait dat javascript niet in je browser maar op de server.

[partyrabbit]

Ja inderdaad, sommige websites geven hier een volledig wit scherm  Omdat alles geblockt wordt omdat ze in de kern al zo veel op js draaien.
Ik mis zulke websites niet, want ik beschouw ze als in potentie onveilig  (en niet alleen ik)
Love NoScript 

Jij snapt het niet helemaal wat ik schrijf. Als je een website maakt met Vue.js (= javascript), dan draait dat javascript niet in je browser maar op de server.

Tjee man, wat heb jij vanavond?  =DbBegin je nou hier ook alweer te kloten? Begint de eenzaamheid van corona je boven je kop te groeien of zo?

Je hoeft mij niet uit te leggen hoe een website werkt, met javascript. Veel meer ervaring met het bouwen van complexe websites en ook veel langer dan jij.

[TopGear]

En nu is het goed geweest. Dat geldt voor jullie beiden!
Jullie reageren inhoudelijk of jullie reageren niet. Ik heb geen zin in dit ge-welles-nietes/hij begon-zij begon gedoe. Het alternatief is een cooldown periode.

[markba]

Hmmm, mijn reactie WAS inhoudelijk, lees maar eens na. Jammer dat als je iemand iets uitlegt (over server-side en client-side javascript), dat er dan ineens zo gereageerd wordt.

[MKe]

Ja inderdaad, sommige websites geven hier een volledig wit scherm  Omdat alles geblockt wordt omdat ze in de kern al zo veel op js draaien.
Ik mis zulke websites niet, want ik beschouw ze als in potentie onveilig  (en niet alleen ik)
Love NoScript 

Jij snapt het niet helemaal wat ik schrijf. Als je een website maakt met Vue.js (= javascript), dan draait dat javascript niet in je browser maar op de server.

dat is niet correct, ik denk dat je node.js bedoeld. Vue.js is een front end framework.

[markba]

Ja, nu je dat zo zegt, dat klopt. Het punt was dat javascript hier zo verguisd wordt. Dat terwijl javascript juist op alle fronten een fenomenale progressie  plaatsvind qua toepassingsmogelijkheden. Dat er naast complete websites zelfs deskop-apps mee geschreven worden....

[MKe]

Ja, nu je dat zo zegt, dat klopt. Het punt was dat javascript hier zo verguisd wordt. Dat terwijl javascript juist op alle fronten een fenomenale progressie  plaatsvind qua toepassingsmogelijkheden. Dat er naast complete websites zelfs deskop-apps mee geschreven worden....

zeker. Ik schrijf zelf ook steeds meer in JavaScript, waar het hiervoor vaak Python of c++ was.
HTML en JavaScript is ideaal voor cross platform gui’s.

[markba]

Kwam er dus laatst achter dat mijn favo-editor VS Code geheel in Electron = javascript + html + css  geschreven is. Voor een desktop-app is dat ronduit bizar, dat je zoiets kan maken met louter web-technieken.

[partyrabbit]

Het punt was dat javascript hier zo verguisd wordt.

Ik verzin de risico's van JavaScript niet. Die zijn in de geschiedenis doorlopend en veelvuldig gebleken.
https://duckduckgo.com/?q=risk+JavaScript&t=fpas&ia=qa
Ik verguis JavaScript niet maar benoem slechts feiten. Als je daar niet tegen kunt moet je dat niet op mij afreageren.
Beetje vreemd dat ik daarom zo fel onprettig aangesproken werd, in twee topics. Maar whatever. Ik zeg niets meer voor ik het weer gedaan heb zoals gebruikelijk.

[markba]

Heb niets tegen jou joh en reageer al helemaal niets af. Maar wel raar dat zo ongeveer de hele wereld in versneld tempo met javascript gaat werken en jij 'tegen' bent. Het is ontwikkeling die niet tegen te houden is, vergeleken met NPM (Node Package Manager = repo voor javascript-packages) zijn de Ubuntu-repo's kinderspel, zo rijk en veelomvattend dat ze zijn; allemaal open source trouwens.... Websites, apps en zelfs desktop-app maak je tegenwoordig met javascript. En als het allemaal zo 'gevaarlijk' zou zijn als jij beweert, waarom gebeurt het dan toch?

[MKe]

Goed, niet om olie op het vuur te gooien, maar er is ook een trend om javascript te vervangen door iets dat "WebAssembly" heet. Hierbij kun je dus zelfs andere programmeertalen gebruiken in een browser. Dit werkt al met Python en ik heb het ook met C# (Blazer) gezien. De onveiligheid is dus niet specifiek JavaScript. Ik denk wat PartyRabbit bedoeld is eigelijk dat programmeercode/macro's binnen een website gevaarlijk kunnen zijn. En daar heeft hij gelijk in. Aande andere kant zou het internet op de huidige manier niet mogelijk zijn zonder dat soort code. Ik verwijs maar naar de rich-text editor dit ik nu gebruik om deze post te schrijven.

Overigens is er een ander fantastisch initiatief om weer terug naar de 'oude' internet te gaan. Dit heet Project Gemini (https://gemini.circumlunar.space/). Het werkt als een soort moderne Gopher en is een verademing voor mensen die niet houden van te veel grafisch en interactief geweld op het Internet. Ik heb hier wat mee gespeeld en ben zeer onder de indruk. Aan de andere kant vrees ik wel dat dit een nerdy project blijft en nooit breed zal worden geadopteerd.

En terug op het onderwerp: de besproken lekkage in Log4J is dus een Java probleem. Het heeft niets met JavaScript te maken en al helemaal niets met de veiligheid in een webpagina. Helaas wel met de veiligheid aan de server kant van die pagina. Je kunt hier als gebruiker dus niets tegen doen. Geen NoScript gaat je hier beschermen. Je kunt alleen hopen dat de beheerders van de sites die je bezoekt hun veiligheid op peil hebben.

[markba]

is dus een Java probleem. Het heeft niets met JavaScript te maken en al helemaal niets met de veiligheid in een webpagina

Het lijkt wel alsof we in een tijdmachine zitten. 10 jaar geleden hadden we exact dezelfde discussies, dat java en javascript door elkaar heen gehaald werden 

[partyrabbit]

Heb niets tegen jou joh en reageer al helemaal niets af. Maar wel raar dat zo ongeveer de hele wereld in versneld tempo met javascript gaat werken en jij 'tegen' bent.

Mmmm, Iemand "wartaal" aanrekenen vindt ik niet zo'n fijne manier van communiceren. En dan na een waarschuwing nog een keer door gaan ook niet.
Maar whatever.

Ik mis javascript niet. Noscript block het, en ondertussen werken alle sites.
Javascript is ook helemaal niet nodig voor een goed werkende website.
Alleen voor allerhande grafische zaken. Reclame en games bijvoorbeeld. En juist dat zijn (ook bij mij) 99% van de gevallen de online virusbrengers geweest.
Zelfs de enige keer hier onder linux lang geleden, spelletjeswebsite van de kids, waar het verzoek om installatiewachtwoord op sprong .... om een .exe te installeren  LOL

Ik gaf eerder al een linkje waar druk gecommuniceerd wordt over javascript, waar je ver hetzelfde kunt lezen als wat ik aangaf.
Volgens mij weet iedereen wel dat de website javascripjes dat soort rare streken kunnen faciliteren.

En ja, er zijn simpele javascriptjes die op de gemiddelde website draaien, voor layouts en lettertypjes en zo, en die gebruik ik ook wel. Heb ik zelf ook vaak genoeg toegepast bij webdesign.
En wat er bij een website bij hen op de server draait interesseert mijn niet zoveel (buiten security redenen), zolang het maar niet in mijn browser komt.
Uiteindelijk sta ik overal voor open. Maar niet voor iets wat me een risico is.
Ik zie dus geen reden om het risico te gaan opzoeken.

[markba]

dat is niet correct, ik denk dat je node.js bedoeld. Vue.js is een front end framework.

Bij nader inzien, dit klopt NIET. Vue.js is een op typscript-gebaseerde server-oplossing. Deze serveert dus html-pagina's die gegenereerd worden. Tevens wordt wat gegenereerde javascript meegestuurd, voor de huishouding zeg maar, maar dit is niet de code die je zelf schrijft. Typescript is overigens een javascript derivaat.

Kernpunt: alhoewel Vue.js op javascript (typescript) draait, draait deze code NIET op de browser van de client maar genereert als een echte server html- en javascript-code. Dat was de discussie hier.

P.S. Bovenstaande geldt ook voor Angular.js

[MKe]

Ik weet niet waar je dat vandaan hebt. De vue en Angular apps die ik geschreven heb hebben allemaal een Python backend. Maar zoals ik al zei, met node.js kun je je backend ook in JavaScript schrijven en dan vervagen de grenzen idd.

[markba]

Helaas..... Vue.js is een server-toepassing, geschreven in javascript, dát is het hele punt. De backend doet niet ter zake, dat kan idd van alles zijn.

[MKe]

Helaas..... Vue.js is een server-toepassing, geschreven in javascript, dát is het hele punt. De backend doet niet ter zake, dat kan idd van alles zijn.

wat bedoel je dan met een server toepassing?