Qu'est-ce que JavaScript et pourquoi Gmail le bloque-t-il?
Vous avez peut-être vu une notification indiquant que les choses changent dans votre boîte de réception. À partir de février 2017, Gmail a modifié sa politique concernant JavaScript. Voici pourquoi cela évolue et comment vous protéger du code malveillant JavaScript.
Qu'est-ce que JavaScript??
JavaScript (à ne pas confondre avec Java, un langage de programmation distinct portant un nom similaire) n'est pas en soi une chose dangereuse ou malveillante. En fait, cette page que vous lisez en ce moment utilise JavaScript, comme la plupart des pages Web modernes. JavaScript est un langage de programmation stocké en texte brut et exécuté par divers programmes, y compris des navigateurs Web. Cela diffère des programmes écrits en texte brut et compilés pour être exécuté en tant que «binaire», comme la plupart des programmes installés sur votre PC..
JavaScript existe depuis le milieu des années 90. Brendan Eich a créé sa première version de ce langage important en 10 jours à peine pour être utilisée dans la première version de Netscape Navigator. Une réalisation importante, Eich est devenu cofondateur et directeur de la technologie de Mozilla, la société qui gère Firefox. Tous les navigateurs Web modernes peuvent exécuter du JavaScript, ce qui ajoute à la conception Web une complexité et une logique de programmation impossible avec le simple langage HTML..
Parce que tant de personnes avaient besoin de JavaScript sur le Web en pleine croissance des années 90 et au début des années 2000, sa popularité auprès des codeurs a augmenté de façon exponentielle. Actuellement, c'est probablement la langue la plus populaire sur le Web.
Avec l'explosion de la popularité de JavaScript et la complexité croissante du Web, Google a lancé son navigateur Chrome et V8, un moteur à code source ouvert permettant d'exécuter efficacement du code JavaScript. Avec sa sortie en 2008, il accélère les vitesses de chargement des pages Web et de JavaScript, et conduit à encore plus d'utilisations l'année suivante..
Les développeurs intelligents ont pris le moteur V8 du projet Chrome et ont lancé une application côté serveur appelée Node.js en 2009. Cela a permis à un serveur de faire des choses comme stocker et récupérer des fichiers et de servir des pages Web, mais en utilisant uniquement JavaScript. Cela signifie que les développeurs peuvent utiliser leurs connaissances existantes de JavaScript et ne doivent pas apprendre de nouvelles langues. Node a commencé à remplacer PHP et Python pour de nombreux nouveaux sites et applications Web, et sa popularité auprès des développeurs ne cesse de croître.
Pourquoi Gmail le bloque-t-il??
Parce que JavaScript est omniprésent, vous pouvez en déduire qu'il peut être géré par des millions de choses. Beaucoup de gens peuvent l'écrire, et il peut être exploité. Cela ne rend pas la situation pire que les macros MS Office ou les pièces jointes à un e-mail, mais cela risque d’être mal utilisé.
Les experts en sécurité ont noté une tendance à plus de programmes malveillants écrits en JavaScript. Celles-ci sont souvent envoyées par courrier électronique, déguisées en CV, ou comme message de phishing ciblant les entreprises, ou une réclamation indique que la pièce jointe «suivra une commande récente». logiciel, car il faut un utilisateur non averti pour télécharger, ouvrir, exécuter ou installer des éléments de code malveillants.
Ransomware est une tendance effrayante de ces dernières années. Étant donné l'accès à votre ordinateur, un programme JavaScript peut installer un logiciel pour transformer vos fichiers importants en charabia illisible via un processus appelé Encryption, vous obligeant à payer quelqu'un à l'autre bout du monde pour récupérer les fichiers qui étaient auparavant les vôtres..
Google conserve une liste des types de fichiers couramment utilisés par les créateurs de programmes malveillants et Gmail les bloque. En raison de l'augmentation de ce type de programmes malveillants, le type de fichier JavaScript a été ajouté à cette liste. Il est peu probable que cela pose problème à la plupart des utilisateurs, à l'exception notable, vous êtes un développeur qui essaie d'envoyer par courrier électronique un fichier appelé «functions.js» à un collègue. Dans ce cas, vous devrez peut-être partager via Google Drive ou d'autres solutions de partage de fichiers. Mais la plupart des utilisateurs ne remarqueront probablement aucune différence.
JavaScript n'est pas le moins du monde effrayant, mais il peut faire beaucoup de mal à votre ordinateur si vous ne faites pas attention. Passons donc à ce que vous pouvez faire pour rester en sécurité.
Comment puis-je me protéger?
Windows est devenu plus vulnérable à ce type d'attaques, en partie à cause du programme utilisateur Windows Script Host, qui peut exécuter des fichiers JavaScript et potentiellement endommager votre système. Autrement dit, si vous l'autorisez.
Voici une méthode simple pour éviter cela, sans désactiver complètement les scripts. Vous pouvez configurer Windows pour qu’il ouvre les fichiers .JS avec un programme qui n’exécute pas le code: Notepad. Voici comment.
Ouvrez le Bloc-notes en cliquant sur votre menu Démarrer et en tapant le Bloc-notes..
Lorsqu'un fichier vierge est ouvert, allez dans Fichier> Enregistrer sous. Enregistrez le document vierge ouvert sur votre bureau sous Blank.js
, en vous assurant que vous supprimez l'extension de fichier .txt.
Fermer le bloc-notes. Cliquez avec le bouton droit sur le faux fichier .JS que vous venez de créer et recherchez «Ouvrir avec» dans le menu contextuel. Cliquez sur "Choisir une autre application".
Choisissez «Bloc-notes» dans la liste et assurez-vous que la case à cocher «Toujours ouvrir avec» est cochée..
Désormais, tous les fichiers JavaScript malveillants que vous avez accidentellement ouverts s'ouvriront sans danger dans le Bloc-notes..
Vous pouvez également désactiver Windows Script Host par défaut pour votre ordinateur, en vous assurant que tout type de code qu'il exécute, qu'il soit correct ou non, ne peut pas être exécuté sans être réactivé. C'est peut-être exagéré, mais c'est une chose raisonnable à faire pour protéger l'ordinateur d'un être cher. Voici une méthode recommandée par Microsoft pour désactiver complètement Windows Script Host..
Bien sûr, n'oubliez jamais les bases: n'ouvrez jamais les pièces jointes d'e-mails provenant d'expéditeurs inconnus ou non fiables., ou d'expéditeurs connus si l'e-mail semble suspect ou déroutant. Cela réduira pratiquement à néant votre risque de compromettre tous les codes de Troie malveillants, car il provient en majorité de spam ou de comptes de messagerie piratés..
Et c’est à peu près tout ce que vous devez savoir sur la protection contre le JavaScript. Toutefois, à compter du 13 février, vous n’aurez plus à vous soucier de l’envoi de ces fichiers à votre adresse Gmail, car le type de fichier sera entièrement bloqué..