Le librerie con riferimenti esterni (CDN) sono un problema di sicurezza?

Naviga le tue risposte
1

Oggi ho letto di un presunto attacco malware targeting per jQuery.com

Un blogger tedesco che è quello che chiamerei un esperto di sicurezza IT ha dichiarato che

Any website that is working with individual-related data should not reference external libraries

Tuttavia, l'utilizzo di CDN è consigliato da grandi aziende come Google e considerato una best practice per il miglioramento delle prestazioni.

Devo ospitare le librerie con cui desidero lavorare sul mio spazio web, quando la mia applicazione funziona con dati sensibili?

    
posta Sprottenwels 24.09.2014 - 11:44
fonte

3 risposte

2

La risposta a questa domanda ha due lati ...

prima :

Se si ospitano le librerie da soli, è necessario controllare regolarmente le informazioni sulla sicurezza nella libreria e aggiornare la libreria di conseguenza. Questa operazione può richiedere molto tempo se si includono diverse librerie che devono essere aggiornate in modo indipendente.

Dall'altra parte puoi controllare ciascuna libreria che usi.

Inoltre devi impedire ogni attacco a queste librerie da solo. Se rilevi un attacco puoi gestirlo molto velocemente.

Secondo :

Se utilizzi un CDN, il proprietario del CDN aggiorna tutte le librerie per te. Non hai lavoro con l'aggiornamento delle librerie da solo.

L'audit per le librerie è (si spera) fatto dalla compagnia del CDN. Non puoi influenzare questo controllo.

Un CDN dovrebbe impedire qualsiasi attacco alle librerie ospitate. Se viene rilevato un attacco, il CDN gestirà questo attacco. Forse le librerie sono compromesse e il CDN sta delegando librerie modificate che possono infettare i tuoi clienti ...

Infine

Il CDN riduce il tuo lavoro con le librerie poiché fanno molto lavoro che deve essere svolto da te altrimenti.

Dall'altra parte devi fidarti della compagnia della CDN per gestire tutti i problemi di sicurezza abbastanza velocemente da non danneggiare i tuoi clienti.

    
risposta data 24.09.2014 - 12:07
fonte
1

Come per il commento sulla risposta di Uwe, c'è solo un vantaggio di sicurezza se l'URL che si utilizza fa riferimento a una libreria con i problemi di sicurezza corretti. Sebbene, per espandere il mio commento, il team di jQuery ha lavorato con Google per rendere disponibile l'ultima versione di produzione (cioè con correzioni di sicurezza) in un (nuovo) URI non variabile. Tuttavia, Google deve ancora aggiornare la documentazione .

Altri repository / sviluppatori potrebbero non fornire questo livello di servizio.

Una conseguenza dell'approccio di Google / JQuery è che Google sta riducendo il tempo di cache nell'URL generico, potenzialmente minando il già limitato vantaggio di utilizzare un respository condiviso.

    
risposta data 24.09.2014 - 15:27
fonte
0

L'utilizzo di librerie di terze parti è sempre più sicuro e sicuramente il modo consigliato (se ci si fida di loro). Per controllare le tue librerie di terze parti puoi (ad esempio) utilizzare il controllo delle dipendenze di owasp . Ciò diventa difficile per contenuti puri / siti di script, credo. Penso che sia stato il tuo esperto ad evitare l'uso di contenuti stranieri nei tuoi siti web e non nelle librerie.

    
risposta data 24.09.2014 - 12:03
fonte

Leggi altre domande sui tag

Qual è la funzione principale di xp_cmdshell in SQL Server e quali sono i problemi di sicurezza correlati? Telefonata sospetta sostenendo che MS Office non è stato aggiornato di recente