/dev/null - Overig

Waarom wordt SNYK hier niet genoemd?

05-12-2020, 10:06 door Anoniem, 5 reacties
L.S.

JavaScript in de vorm van jQuery bibliotheken wordt veel gebruikt voor moderne websites.

Maar alles wat u op een bepaald moment heeft verworven,
moet ook weer t.z.t. worden verlaten en afgevoerd (retired).

Hoe stel je vast welke jQuery bibliotheken afgevoerd dienen te worden?

Vijf tips voor het veiliger maken van JavaScript bibliotheken vinden we hier:
https://internet-security-scan.com/vulnerability-scan/5-tips-for-a-secure-use-of-javascript-libraries.php
bron: Incus - Pascal & Ruben de Koning.

Men kan gebruik maken van de Retire.JS extensie of online scannen bij
https://retire.insecurity.today/ beide ontwikkeld door Erlend Oftedal.

Of als onderdeel van het security gedeelte van deze scanner: https://webhint.io/scanner/,
die gebruik maakt van SNYK om kwetsbaarheden aan te geven.

Naar aanleiding van de gevonden af te voeren code kan men ook nog specifieke DOM-XSS sinks & sources natrekken.
Ook is dit een handige extensie naast developers tools en Quick Source Viewer, Javascript Errors Notifier.

Ben ik zo enigszins volledig of is er meer?

luntrus
Reacties (5)
05-12-2020, 13:53 door Anoniem
Door Anoniem: L.S.

JavaScript in de vorm van jQuery bibliotheken wordt veel gebruikt voor moderne websites.

Maar alles wat u op een bepaald moment heeft verworven,
moet ook weer t.z.t. worden verlaten en afgevoerd (retired).

Dat is jouw mening, en je houdt niet op om die hier te ventileren.
Maar in werkelijkheid ligt het niet zo zwart/wit en is het "risico" van het gebruiken van jQuery vooral theoretisch
en niet zo zeer een praktijkprobleem, zeker niet voor de site zelf.
05-12-2020, 14:46 door MathFox
Ik heb het Incus artikel gelezen en daarna had ik geen zin meer om je andere links te volgen. Die vijf "tips" zijn wat mij betreft niet nieuw en als het echt nodig is om webontwikkelaars op dergelijke basale beveiligingszaken te wijzen dan zakken ze verder in mijn achting, met het risico om beneden het nulpunt uit te komen.

Over het andere punt: De redactie hier moet keuzes maken. Niet iedere hack kan gerapporteerd worden. Niet ieder initiatief is relevant genoeg om voor het voetlicht te komen. Security.nl legt prioriteiten waar het gaat om nieuws gerelateerd aan Nederland. Dat een charmant buitenlands initiatief dan even niet de aandacht krijgt is jammer.
05-12-2020, 15:45 door Anoniem
Oh, die Pascal en Ruben de Koning zijn ineens geen Nederlanders meer (Uni Twente, mensen).
Dat allemaal nogal een beetje neerbuigend commentaar van MathFox, riding his high horse.

Dan wordt samen met egnoemde twee uit de link ook Erlend Oftedal hier in bovenstaande reactie's afgeserveerd.
Gebruik van Retire.js wordt aan de andere kant her en daar nogal gepropageerd.

JavaScript is zeker niet de Heilige Graal en was bij het ontstaan nog niet eens gereed voor volledig gebruik op Internet.
Is het zoveel veiliger geworden in ontwerp over de afgelopen twee decennia.
Niet voor niets de ontwikkelingen via babel etc.

Aan de andere kant geef ik wel toe dat er ook andere zaken bij betrokken moeten worden,
die dit alles niet meer zo een evident risico doen zijn, zoals een goede access control, header security,
en ook andere zaken die een beveiligde verbinding tussen client en achterliggende (web)server garanderen.

Er wordt ook nogal heel wat niet volgens zogenaamde "best policies" geimplementeerd, zie CSP.
Ook bij een pakket als bootstrap.js, waar juist SNYK weer zaken aangeeft.

luntrus
05-12-2020, 20:52 door Anoniem
Ik vind dat als er security issues zijn met scripting, je de problemen en hun oplossing moet zoeken in de
script engine (dus in de browser) en niet in het specifieke script wat gebruikt wordt.
Dus niet "jQuery bibliotheken afserveren" zoals je zo graag oppert.
05-12-2020, 22:13 door Anoniem
Dan naar de console. Een enkele script error kan de hele cliënt unresponsive maken. Heb je gelijk aan.
luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.