Valutazione della sicurezza dello script di terze parti

Naviga le tue risposte
2

Sto facendo ricerche sugli strumenti di terze parti da utilizzare in un progetto e non ho trovato prove conclusive a riguardo:

È meglio * includere gli script di terze parti con un tag <script> o ospitarli localmente? Dove meglio significa che probabilmente avrà un impatto su un numero minore di utenti.

Sono riuscito a trovare le migliori pratiche di sicurezza per ogni caso, ma non le informazioni su quale sia una pratica migliore. Questi sono i pro / contro principali come differenza che ho potuto trovare per uno script esterno:

  • La terza parte compromessa : tutti i loro clienti sono vulnerabili ora.
  • Aggiornamento automatico della sicurezza : tutti i client ora sono al sicuro.

L'impostazione del tag integrity sembra molto più simile all'hosting automatico poiché sei bloccato su una versione specifica. Inoltre, se l'host è inattivo, il loro script non funziona. Quindi da un punto di vista della sicurezza, uno script esterno con un checksum sembra essere ugualmente sicuro, con più tempi di inattività.

Quindi sembra davvero ridursi a quanto ti fidi che gli aggiornamenti di terze parti siano benigni o dannosi E qual è il tempo di risposta della tua azienda .

Il mio pensiero è che se si dispone di un team di risposta alla sicurezza 24/7, monitorare attivamente tutte le terze parti e fare una valutazione della sicurezza di qualsiasi nuovo codice, allora potrebbe essere sensato ospitarla personalmente per ridurre il rischio che vengano hackerato (aumentando il tempo di risposta). Altrimenti, ha più senso lasciare che l'azienda lo ospiti, poiché il loro tempo di risposta sarà molto più basso rispetto alla combinazione del loro tempo di risposta + il tempo di risposta dell'azienda.

Quindi, qual è lo standard del settore? C'è qualche raccomandazione ufficiale?

Modifica: ho trovato alcuni post del blog allarmanti che invitavano a non utilizzare tag di terze parti <script> , ma tutti loro non hanno mai riconosciuto il vantaggio in termini di sicurezza di avere lo script ospitato dal suo creatore aziendale.

Modifica2: Questa è una bella recensione che indirettamente tocca i vantaggi / svantaggi degli script di terze parti: "Se stai utilizzando script di terze parti, assicurati di esaminarli e la loro implementazione postMessage" & & "Ho contattato Matt Abrams (AddThis CTO) che si è assicurato che una soluzione fosse implementata rapidamente e inviata agli utenti finali".

    
posta Me - 06.03.2018 - 07:08
fonte

1 risposta

1

Se lo script è ospitato da terzi

  • Non hai il controllo sullo script. Ciò include sia il contenuto che la disponibilità.
  • Lo script può essere modificato in qualsiasi momento, in un buon modo (aggiornamento della sicurezza), in un modo sbagliato (sito compromesso) o in un modo sconveniente (bug fix che sfortunatamente rompe il tuo caso d'uso). Ma, se vuoi sempre l'ultima versione dello script, potresti anche semplicemente avere un cronjob in esecuzione che lo copia sul tuo sito e quindi mantenerlo disponibile anche se la terza parte fallisce. E potresti conservare le versioni dello script per verificare quali modifiche hanno apportato e come potrebbero influire sul tuo sito e sui tuoi utenti.
  • Ti affidi completamente alla sicurezza della terza parte. Ciò significa che si fa affidamento sul fatto che il loro sito non venga violato, che il loro provider DNS non venga violato e che non manchino mai di rinnovare il proprio nome di dominio (poiché altri potrebbero dirottarlo altrimenti). Ciò significa anche che hai fiducia nei loro dipendenti che non cambiano il tuo copione volentieri (come l'aggiunta di una porta di servizio) o che si rompono accidentalmente.
  • Osservando l'intestazione HTTP di Referer delle richieste, la terza parte può tracciare dove è incorporato lo script. Questi URL potrebbero anche contenere informazioni riservate nell'URL stesso. Inoltre, la terza parte potrebbe tracciare i tuoi utenti utilizzando cookie (ovvi) o intestazioni di cache come Etag (meno ovvio poiché è probabile che il caching sia previsto).
  • Se lo script non viene pubblicato dal tuo sito, un'altra connessione TCP deve essere creata dal browser per ottenere lo script e forse anche un'altra sessione TLS (nel caso di https). La connessione esistente al tuo sito non può essere riutilizzata per questo. Ciò significa che lo script di terze parti incorporato può effettivamente ridurre le prestazioni del tuo sito, o almeno le prestazioni sono al di fuori del tuo controllo.

In sintesi: vedo principalmente problemi quando incorporo script di terze parti. Perdi il controllo, la sicurezza, la privacy e forse anche le prestazioni. Solo se puoi pienamente (vale a dire al 100%, non solo al 99%) avere fiducia che la terza parte non ti possa arrecare volontariamente o involontariamente, potresti pensare di incorporare gli script direttamente dalla terza parte. Soprattutto nel caso in cui il tuo sito sia lento o limitato dalla larghezza di banda rispetto all'hosting di terze parti potresti ottenere un guadagno in termini di prestazioni se lo script è di grandi dimensioni.

    
risposta data 06.03.2018 - 07:43
fonte

Leggi altre domande sui tag

È una sessione sicura tenuta in vita tra i browser? Quali vantaggi avrebbero i certificati lato client sull'autenticazione basata su firma come Oauth2 o HMAC per le richieste HTTP?