Sicurezza JS esterna

1

Sono abbastanza nuovo per lo sviluppo della sicurezza. Ho lavorato principalmente con il materiale di back-end.

Sono stato assegnato su come proteggere javascript esterno che importiamo da facebook, twitter e google.

Un'opzione sono ospitate localmente (il che potrebbe non essere possibile a causa degli aggiornamenti di detti js),

link

link

Posso avere qualche input su qualsiasi altra opzione che sia possibile per proteggere i j esterni che stiamo collegando nel nostro sito web?

Qualsiasi idea è ben accetta,

Grazie mille,

    
posta rookiedev0706 23.04.2015 - 08:22
fonte

3 risposte

6

Questo ha più a che fare con la gestione del rischio. Non hai alcun contratto con Facebook o Twitter. Quindi hai il rischio che possano cambiare il contenuto del file JavaScript senza che tu lo sappia. Questo può essere dannoso o accidentale, in entrambi i casi non si ha il controllo di questo rischio.

Quindi, a meno che tu non abbia un contratto con la parte esterna che trasferisce la responsabilità a loro, non c'è nient'altro che tu possa fare e dovresti immagazzinare le fonti localmente.

    
risposta data 23.04.2015 - 08:51
fonte
0

L'hosting locale non impedirà loro di fare qualcosa di malevolo. In questo caso, se stai importando un file JavaScript da una fonte esterna, nella tua pagina, dovrai fidarti al 100% del codice JavaScript poiché questo script verrà eseguito all'interno della tua stessa origine.

Ospitarli localmente potrebbe fornire qualche vantaggio nel caso in cui la fonte di cui ti fidi sia compromessa. Il massimo che puoi fare è rivedere manualmente il file esterno, per bug e backdoor, e quindi controllare gli aggiornamenti di quegli script e rivedere le modifiche. Ma questo può essere un vero dolore! La soluzione migliore è fidarsi dell'origine e MAI MAI includere JavaScript da un'origine sconosciuta nella tua applicazione!

    
risposta data 23.04.2015 - 08:38
fonte
0

Tutti i post sopra riportati sono corretti in quanto è necessario affidarsi alla terza parte per utilizzare in modo sicuro le risorse js esterne. L'unica cosa che vorrei aggiungere a questo è assicurarsi che tu stia accedendo a quelle risorse su SSL e che sia un'implementazione aggiornata (corretta suite di crittografia, TLS v1, ecc.). Se hai intenzione di fidarti della terza parte, SSL è necessario per assicurarti che stia effettivamente recuperando la risorsa da quella stessa terza parte.

    
risposta data 23.04.2015 - 15:31
fonte

Leggi altre domande sui tag