¿Hay alguna forma en que un archivo html + js local (sin servidor local) pueda ser dañino?
TL;RD
Mantengo una herramienta de visualización científica para varias corporaciones.
Actualmente, es básicamente una hoja de Excel sin macro. Así que las posibilidades de hacer cosas geniales son algo limitadas. Así que estoy viendo cómo podríamos entrar en una programación más real.
El problema es que estas corporaciones son muy estrictas con la seguridad. Por lo tanto, las macros en Excel están prohibidas para la mayoría de ellas por razones de seguridad.
Estaba pensando en reescribirlo en un archivo html local y hacer los cálculos necesarios en js, sin abrir un servidor local. Entonces debería poder desarrollar toda la funcionalidad necesaria, manteniendo la aplicación muy segura.
¿O al menos eso creo?
Esta aplicación no podría acceder al sistema de archivos o enviar información a terceros, ¿verdad?
¿Hay algún otro problema de seguridad que pueda estar pasando por alto?
La respuesta corta es "sí", la respuesta larga es "probablemente estés bien".
Teóricamente, el motor JavaScript de un navegador debería restringir en gran medida el acceso de cualquier script ejecutado. Con las configuraciones predeterminadas, no debería haber forma de que un script dañe la computadora en la que se ejecuta.
Si lo piensas bien, es muy fácil conseguir que alguien cargue tu sitio web. Si eso fuera suficiente para dañar la máquina, estaríamos en un gran problema.
Ahora, en la práctica, ha habido vulnerabilidades en los motores de JavaScript y se ha abusado de ellas. Sin embargo, esto no es algo de lo que deba preocuparse, ni es algo que las corporaciones considerarán.
Editar: un JavaScript puede enviar información a terceros. Simplemente no puede leer el sistema de archivos local u obtener más información que cualquier otro sitio web. Si está cargando algunos datos, teóricamente podría enviar esos datos a otro lugar.