Function eval() ¿sigue siendo peligrosa?

Hola de nuevo!

Referente a la funcion eval() que evalua si un string es ejecutable como codigo, he mirado muchos ejemplos en los que se sigue usando, en cambio en los "viejos" manuales de 2006<= se advierte que es una brecha importante de seguridad.He intentado buscar un poco de información al respecto actualizada, solo he encontrado un articulo donde decían que era plausible usarlo de forma segura en firefox, no he encontrado nada al respecto en chrome (ya ni menciono IE)


¿alguien que pueda aportar información al respecto?


Ps. siempre está la alternativa funcion parse(), aunque con limitaciones.

No tiene más peligros que el uso, por ejemplo, de JSONP.
Este tema ya lo habíamos discutido hace unos años y la conclusión, creo, no ha variado. El principal peligro de eval no está en la seguridad sino en la penalización de rendimiento que implica su uso

pues ami me la han vendido como potencialmente exprimible para sploits , ya que interpreta arrays del debugger o de una consola externa.

Estos dos articulos. el segundo escrito por uno de los miembros del foro, quizás te clarifiquen un poco las cosas

http://www.etnassoft.com/2011/01/05/...-alternativas/
http://blog.aijoona.com/2011/06/11/e...nsideraciones/

De todas maneras, la sentencia "eval is Evil" ha sido magnificada si tenemos en cuenta lo dicho originalmente por D. Crockford

C.21. eval Is Evil
The eval function and its relatives (Function, setTimeout, and setInterval) provide access to the
JavaScript compiler. This is sometimes useful, but in most cases it indicates the presence of extremely bad
coding. The eval function is the most misused feature of JavaScript.


The Good Parts (2008)

Saludos

En resumen, lo de siempre: En desarrollo web los temas relativos a la seguridad no pueden achacársele a javascript sino a un mal manejo de la seguridad a nivel servidor.
Con un control adecuado en el servidor eval es inofensivo. Con un mal control en el servidor hasta un tag html puede convertirse en una pesadilla.