JavaScriptを使用することの危険性

お世話になります。
開発マシン－＞ｆｔｐ－＞サーバーコンピュータ
という形でＨＰを公開しています。
　この時、公開するhtmlでJavaScriptを使うことによって、開発マシンにある重要なファイルが閲覧されてしまう、盗まれてしまうといった危険性があるのでしょうか。
　職場でＨＰを開発しているのですが、ＩＥのセキュリティーレベルで「JavaScriptを無効にする」という設定があるためJavaScriptが危険だと主張して引かない人がいます。この危険性は、ＨＰを閲覧する人のマシンに対してであって、サーバーコンピュータへの危険ではないはずなのですが。また、ｗｅｂで検索をかけると、JavaScriptの危険性についていくつか出てきます。これも、閲覧する人のマシンが危険ということだと思うのですが。
　JavaScriptを使用することによるセキュリティー上の問題がサーバーコンピュータ、そして開発用マシンに対して考えられるのでしょうか。
よろしくお願いいたします。

No.5 ベストアンサー 回答者： HIRSYU 回答日時： 2008/05/06 00:58

>私のプロバイダは、ＩＩＳではありませんが、

IISはプロパイダのことではありません。
IISとは（簡単な説明ですが）
http://e-words.jp/w/IIS.html

>ググッテみました。かなり悪意を持って、かつ、ＰＣ、ＮＥＴに関わる知識が豊富で、かつ、ＩＩＳが使用されていて、かつ、タイミングの問題に関することと認識しましたが、いかがなものでしょうか。

悪意ある人が狙って行えば危険な行為で、正しい認識ですが、「タイミングの問題」は違います。
バッファーオーバーランとは（簡単な説明ですが）
http://e-words.jp/w/E38390E38383E38395E382A1E382 …


JavaScriptによる、サーバーへの脅威と言う点だけで言えば、IISを利用して、JavaScriptをサーバー側で実行しない限りは、サーバーへの影響はありません。

この回答へのお礼

返事遅くなり申し訳ありません。
ご丁寧に教えていただきありがとうございました。
とても参考になりました。

お礼日時：2008/05/08 10:56

No.4 回答者： masa6272 回答日時： 2008/05/05 17:51

ブラウザ上で稼動するJavaScriptで、アクセスできるローカルのファイルは、クッキーだけです。

また、クッキーもサーバーが自分で発行したクッキーしか見えませんので、限定されたJavaScriptを動かしている分には、安全です。

今、クッキーを動かさないように設定したら、かなりのページをまともに見ることができません。クッキーを使うことに問題はありません。

むしろ、問題は掲示板などで問題はユーザーが入力した、スクリプトをそのまま表示する事でXSS等を仕込まれ、クッキー情報などを抜かれることです。これに関しては、表示時のタグの無効化などで対応可能です。

この回答へのお礼

masa6272さん、今晩は。ご回答ありがとうございます。
＞問題は掲示板などで問題はユーザーが入力した、スクリプトをそのまま表示する事でXSS等を仕込まれ、
このことについては、理解できます。
これも、クライアントサイドの危険性の門だと理解しています。
サーバー側の危険性とは無関係ですよね。
どうも、ご回答ありがとうございました。

お礼日時：2008/05/05 20:24

No.3 回答者： redfox63 回答日時： 2008/05/05 16:44

WebサーバーがIISでサーバーサイドのスクリプトにJavaScriptを使っている場合に『脆弱性』があるコードが書かれていた場合サーバー側も危険にさらされることがあります

『バッファオーバーランなどによる未定義の動作』などが該当するでしょう

この回答へのお礼

redfox63さん、レスありがとうございます。
私のプロバイダは、ＩＩＳではありませんが、
今まで解答いただいた方は、サーバー側には危険性がないというご意見だったのですが、それと異なったご指摘を頂き、どのようなことなのか更に詳しくお尋ねしたく思います。
＞『バッファオーバーランなどによる未定義の動作』などが該当するでしょう
ググッテみました。かなり悪意を持って、かつ、ＰＣ、ＮＥＴに関わる知識が豊富で、かつ、ＩＩＳが使用されていて、かつ、タイミングの問題に関することと認識しましたが、いかがなものでしょうか。
わずかでも、サーバーが危険にさらされる可能性があるとすると、その危険性について、検証をしておきたいのですが。私の理解したところは、理解不足でしょうか。
よろしかったら、ご回答お願いいたします。

お礼日時：2008/05/05 19:58

No.2 回答者： pu--n 回答日時： 2008/05/05 10:41

こんにちわ。

No1の方と同様です。チョット補足します。

結論から言うと、クライアント側にリスクがつきます。
要するにHPを閲覧するPC側、Javascriptが実行されるPC側です。

ご存じの通り、Javascriptはプログラミングです。HTMLを補足するだけではなく、一般のアプリケーションプログラムとしてブラウザ内で稼働することができます。その気になれば給与計算や経理処理も可能です。（まず居ないと思いますが）
従って、開発側ではJavascriptコードを書き（作成し）、サーバー側ではJavascriptコードが保存されるだけで、閲覧（実行）しない限り何ら問題は発生しないはずです。

この回答へのお礼

pu--nさん、貴重なレスありがとうございます。
＞結論から言うと、クライアント側にリスクがつきます。
そうですよね。
それならばわかります。
心強いご意見ありがとうございました。

お礼日時：2008/05/05 19:47

No.1 回答者： Tasuke22 回答日時： 2008/05/05 06:25

サーバーに危険は無いでしょう。

開発マシンは完全に蚊帳の外でしょう。

ファイルの閲覧の危険性は、サーバーマシンで動いて
いるwebサーバやFTPサーバやルータの問題であって
Javascriptの問題ではないでしょう。

勿論、運用中のサーバの弱点を知っている人がサーバに
悪さするコードをあえて書いていれば、その限りではな
いでしょう。

この回答へのお礼

Tasuke22さん、早速レスありがとうございます。
＞ファイルの閲覧の危険性は、サーバーマシンで動いて
＞るwebサーバやFTPサーバやルータの問題であって
＞Javascriptの問題ではないでしょう。
具体的に書いていただき、ありがとうございます。
このように書いていただければ、私もその通りと思いますが、
表現というのは大切ですよね。
どうもありがとうございました。

お礼日時：2008/05/05 19:42