4. Javascript auf dem Server

Javascript auf dem Server

  • R

    das sollte mit parrot innerhalb nicht vorhersehbarer zeit machbar sein

    0
  • H

    http://www.onlamp.com/pub/a/onlamp/2007/08/30/introducing-trimpath-junction.html

    0
  • M

    Shade Of Mine schrieb:

    Wenn es zB einen import von PHP oder Perl Libraries gäbe und der Serverseitige JS Interpreter technisch OK wäre und eine halbwegs ordentliche Verbreitung hätte - würde ich JS wohl PHP vorziehen. Wie gesagt - hauptproblem wäre, dass es keine Libs gibt um sinnvolle Sachen zu machen - wenn man aber PHP oder Perl Libraries importieren könnte - wäre das Problem gelöst.

    Einen Import aus PHP oder Perl stell ich mir relativ aufwendig vor, aber Import aus Java geht wohl, wenn man einen Java-Interpreter benutzt.

    headhunter schrieb:

    http://www.onlamp.com/pub/a/onlamp/2007/08/30/introducing-trimpath-junction.html

    Bin wohl nicht der einzige, der sich die Frage gestellt hat. 😉

    0
  • ?

    schmidt-webdesign.net schrieb:

    auf der schachtel schrieb:

    wozu noch so ne dreckssprache auf nem server? damit noch mehr hilfsfrickler ne zu ihnen passende sprache haben um sicherheitslöcher zu produzieren?

    Hast du vielleicht ein Beispiel, das zeigt, wie sich mittels serverseitigem JScript / JavaScript Sicherheitslöcher produzieren lassen?

    Wenns mal Libraries gibt mit denen man auf Server DBs usw zugreifen kann, dann bekommen die Frickler das sicher hin.

    0
  • ?

    es gibt ja sogar schon eval. da bekommt es so n Homepagefrikler der noch Javascript kann sicher hin, dass man mit "Javascript injection" den server hacken kann.

    0
  • S

    auf der schachtel schrieb:

    es gibt ja sogar schon eval. da bekommt es so n Homepagefrikler der noch Javascript kann sicher hin, dass man mit "Javascript injection" den server hacken kann.

    Ein Beispiel, wie sich mittels serverseitigem JScript / JavaScript Sicherheitslöcher produzieren lassen, hast du also nicht (hätte mich auch gewundert). Hast du dir den Begriff "Javascript-Injection" selbst ausgedacht oder nur mit SQL-Injection verwechselt?

    0
  • M

    schmidt-webdesign.net schrieb:

    auf der schachtel schrieb:

    es gibt ja sogar schon eval. da bekommt es so n Homepagefrikler der noch Javascript kann sicher hin, dass man mit "Javascript injection" den server hacken kann.

    Ein Beispiel, wie sich mittels serverseitigem JScript / JavaScript Sicherheitslöcher produzieren lassen, hast du also nicht (hätte mich auch gewundert). Hast du dir den Begriff "Javascript-Injection" selbst ausgedacht oder nur mit SQL-Injection verwechselt?

    eval(formdata.mytextfield)

    😉

    Aber ich behaupte, das ist nicht Javascript-spezifisch.

    0
  • ?

    schmidt-webdesign.net schrieb:

    auf der schachtel schrieb:

    es gibt ja sogar schon eval. da bekommt es so n Homepagefrikler der noch Javascript kann sicher hin, dass man mit "Javascript injection" den server hacken kann.

    Ein Beispiel, wie sich mittels serverseitigem JScript / JavaScript Sicherheitslöcher produzieren lassen, hast du also nicht (hätte mich auch gewundert).

    😕 Ist es doch. Ich gehe mal davon aus, dass man mit serverseitigem Javascript auch die Möglichkeit hat auf eine DB zuzugreifen, sonst bringt es auf dem Server ja nix.

    Hast du dir den Begriff "Javascript-Injection" selbst ausgedacht oder nur mit SQL-Injection verwechselt?

    Google: Javascript-Injection Im Moment kann man "nur" Clientseitig HTML Seiten "hacken", aber sobald es auf dem Server läuft geht viel mehr.

    0
  • S
    Mod

    auf der schachtel schrieb:

    Google: Javascript-Injection Im Moment kann man "nur" Clientseitig HTML Seiten "hacken", aber sobald es auf dem Server läuft geht viel mehr.

    Quasi jede Scriptsprache hat ein eval()

    0
  • L

    Nur weil die Sprache bei Client und Server die gleiche ist heißt das doch noch lange nicht, dass deswegen plötzlich andere/mehr Sicherheitslücken auf dem Server entstehen als bei einer anderen serverseitigen Sprache.

    So eval()-Hacks gibts bei thedailywtf.com regelmäßig wo per ajax/js irgendwas an ein php-Skript geschickt wird welches das ganze mit eval() ausführt.

    0
  • ?

    lolz schrieb:

    Nur weil die Sprache bei Client und Server die gleiche ist heißt das doch noch lange nicht, dass deswegen plötzlich andere/mehr Sicherheitslücken auf dem Server entstehen als bei einer anderen serverseitigen Sprache.

    So eval()-Hacks gibts bei thedailywtf.com regelmäßig wo per ajax/js irgendwas an ein php-Skript geschickt wird welches das ganze mit eval() ausführt.

    Man könnte aber mehr anstellen, wenn man mit js auf die Server DB zugreifen könnte. Die Möglichkeit fremden Code auf dem Server auszuühren hat man bei ner normalen Sprache halt nicht, außer SQL Injection.

    0
  • M

    auf der schachtel schrieb:

    lolz schrieb:

    Nur weil die Sprache bei Client und Server die gleiche ist heißt das doch noch lange nicht, dass deswegen plötzlich andere/mehr Sicherheitslücken auf dem Server entstehen als bei einer anderen serverseitigen Sprache.

    So eval()-Hacks gibts bei thedailywtf.com regelmäßig wo per ajax/js irgendwas an ein php-Skript geschickt wird welches das ganze mit eval() ausführt.

    Man könnte aber mehr anstellen, wenn man mit js auf die Server DB zugreifen könnte. Die Möglichkeit fremden Code auf dem Server auszuühren hat man bei ner normalen Sprache halt nicht, außer SQL Injection.

    Doch hat man. Könnten wir vielleicht über richtige Vor- und Nachteile diskutieren?

    0
  • ?

    Mr. N schrieb:

    auf der schachtel schrieb:

    lolz schrieb:

    Nur weil die Sprache bei Client und Server die gleiche ist heißt das doch noch lange nicht, dass deswegen plötzlich andere/mehr Sicherheitslücken auf dem Server entstehen als bei einer anderen serverseitigen Sprache.

    So eval()-Hacks gibts bei thedailywtf.com regelmäßig wo per ajax/js irgendwas an ein php-Skript geschickt wird welches das ganze mit eval() ausführt.

    Man könnte aber mehr anstellen, wenn man mit js auf die Server DB zugreifen könnte. Die Möglichkeit fremden Code auf dem Server auszuühren hat man bei ner normalen Sprache halt nicht, außer SQL Injection.

    Doch hat man.

    Ja, wenn C/C++ Programmierer richtige Fehler machen und über den Speicher raus schreiben lassen oder Formatstrings falsch einsetzen. Da muss man aber schon richtig was drauf haben um einen Server so zu hacken. Bei Javascript ist sowas ein Sprachfeature, damit jeder der nur ein bisschen js kann, seinen Code auf den Server bringen kann.

    Könnten wir vielleicht über richtige Vor- und Nachteile diskutieren?

    Javascript Injection, Keine Vererbung, keine Typsicherheit, noch langsamer als Java, viele Syntaxfehler können erst zur Laufzeit erkannt werden.

    Was waren den die richtigen Vorteile?

    0
  • S
    Mod

    auf der schachtel schrieb:

    Ja, wenn C/C++ Programmierer richtige Fehler machen und über den Speicher raus schreiben lassen oder Formatstrings falsch einsetzen. Da muss man aber schon richtig was drauf haben um einen Server so zu hacken. Bei Javascript ist sowas ein Sprachfeature, damit jeder der nur ein bisschen js kann, seinen Code auf den Server bringen kann.

    Jede Scriptsprache hat ein eval(). Willst du jetzt behaupten PHP, Python, Perl, Ruby,... sind ungeeignet?

    Javascript Injection, Keine Vererbung, keine Typsicherheit, noch langsamer als Java, viele Syntaxfehler können erst zur Laufzeit erkannt werden.

    Keine Vererbung ist kein Grund. Der Rest ist bei Jeder Scriptsprache so.

    0
  • ?

    Weil andere Sprachen die gleichen Nachteile haben zählt es nicht als Nachteil? 😕 Komische Anschauung.

    Was ist denn nun an Javascript gut? Warum nicht ne richtige Sprache für Serverprogrammierung entwerfen (z.B. mit SQL als Sprachfeature, um SQL Injection zu verhindern), anstatt Javascript.

    0
  • S
    Mod

    Jede Sprache hat Probleme wenn man den Userdaten blind vertraut. Es ist einfach lächerlich zu sagen eine Sprache ist schlecht weil es ein eval() bietet. Bedenke dass man in Java und .NET remoten Code laden und ausführen kann.

    Die Frage ist: welche Nachteile hat JavaScript im Vergleich zu den bestehenden Lösungen - und da gibt es von der Sprache her einfach keinen Nachteil. Denn es ist genauso eine Sprache wie PHP, Python, Ruby, Perl,...

    SQL Injections sind auch soetwas was ich nie verstanden habe. Man braucht nur ein bisschen Verstand haben und es kommt nie zu einer SQL Injection. Wenn nun die Library etwas hilft, ist die Sache erledigt. Da brauche ich nichts in die Sprache einbauen...

    0
  • ?

    Shade Of Mine schrieb:

    SQL Injections sind auch soetwas was ich nie verstanden habe. Man braucht nur ein bisschen Verstand haben [...]

    Du hast die Frage doch schon selbst beantwortet. 🤡

    @auf der schachtel:

    Javascript ist eine richtige Sprache und IMHO auch eine recht interessante. Außerdem ist es halt die gleiche, die man auch clientseitig verwenden muss, man muss sich also mit weniger Sprachen rumschlagen.

    0
  • ?

    Bedenke dass man in Java und .NET remoten Code laden und ausführen kann.

    Bedenke aber auch, dass in Java und .NET Security ein integraler Bestandteil der Laufzeitumgebung ist. Das kann man nun wirklich nicht mit einem eval() vergleichen.

    0
  • ?

    Was waren jetzt nochmal die Vorteile von Javascript?

    0
  • ?

    auf der schachtel schrieb:

    Was waren jetzt nochmal die Vorteile von Javascript?

    Lern lesen.

    0
Anmelden zum Antworten