Het gemak waarmee websitebeheerders allerlei javascript code die benodigd is voor hun site gewoon direct van de
bron halen verbaast me ook wel een beetje. Het lijkt natuurlijk aantrekkelijk, je hoeft niet zo te letten op updates, dat
regelt je leverancier allemaal (of dat nou een bedrijf is waar je de code "gekocht" hebt of een opensource repository).
Maar wel maak je je helemaal afhankelijk van die aanbieder. Niet alleen voor akkefietjes zoals hierboven vermeld,
maar ook zou die aanbieder de ooit werkende code zomaar kapot kunnen maken. Daar was laatst al een voorvalletje
van waarbij iemand uit frustratie over het beleid van de repository gewoon al zijn code gedelete had, waaronder een
tamelijk low-level functie die ook weer door anderen gebruikt wordt. Dan ligt zomaar ineens je site of app eruit en
moet je dat eerst maar weer eens opmerken (klachten van gebruikers?) en hoe ga je dat dan fixen...

Beter maar copietjes van al die code in je eigen omgeving (server, CDN) hosten, en zelf bepalen wanneer er geupdate
wordt. Dan kun je tenminste testen als er iets verandert.

Zelf hosten is altijd veiliger - als je ziet hoeveel sites er voor een eenvoudige nieuwssite aangesproken worden - dan moet je je vragen gaan stellen over de veiligheid. Het is fundamenteel aan't mislopen. Zelfs een eencellige zou dat kunnen vaststellen.

Deze print ik uit en hang ik boven mijn werkplek, voor het geval mijn werkgever of echtgenoot een keer komt mopperen.

Ja, dat krijg je als de mensen, die er geen verstand van hebben de beslissingen nemen
en de mensen, die er verstand van zouden moeten hebben, hiernaar moeten luisteren.

Security is dus te vaak een last resort thing. Sluitpost op de begroting met alle gevolgen vandien.

Het is gewoon een risicoafweging. Wat heeft het gekost om dit uiteindelijk te fixen, versus wat had het gekost om zelf een videoplatform op te tuigen.

Ik weet het antwoord wel hoor. Dus de volgende vid.me gaat gewoon gebruikt worden door deze sites.

Zelf hosten zal meestal niet kunnen, een website schendt auteursrecht als ze kopieën maken en die verder verspreiden.

Maar professioneel gerunde nieuws-sites kunnen echt wel maatregelen nemen. Het is heel goed mogelijk om volautomatisch alle verwijzingen naar externe inhoud te inventariseren, om te kijken of de domeinen nog bestaan, of URLs die eerder werkten nu fouten of redirects opleveren, of de resulterende inhoud nog overeenkomt. Link checkers bestonden in de jaren '90 al. Vandaag de dag zou ik verwachten dat dergelijke oplossingen prima met ingebedde video's om kunnen gaan en gebruik kunnen maken van de safe browsing-infrastructuren zoals bijvoorbeeld die Google of Microsoft om ongewenste inhoud te signaleren, als daar API's voor zijn die (al dan niet via een abonnement) door andere software dan webbrowsers gebruikt kunnen worden.

Ik heb niet bijgehouden wat er aan concrete implementaties beschikbaar is die kant en klaar ingezet kunnen worden, maar het valt evident wel binnen wat technisch mogelijk is. Elke tent met een beetje automatiseringsvaardigheid in huis had in de decennia sinds de jaren '90 dit zelf verder kunnen uitbouwen en verdachte links automatisch kunnen verwijderen of vervangen door iets onschuldigs. De wereld is groot, dus dat is ongetwijfeld echt wel hier en daar gedaan. De vraag is waarom er grote, gerenommeerde nieuwswebsites zijn die een reputatie hoog te houden hebben die dit blijkbaar in het geheel niet doen.

Ik denk dat ze het bij beheer veel te druk hebben met het implementeren van cookie- en paywalls om daar nog aan toe
te komen! Als je ziet hoeveel werk daar ingestoken wordt... bij die Amerikaanse sites ook nog eens gekoppeld aan
regiodetectie enz....

Nooit gehoord van een CSP en deze met enige regelmaat up-to-date houden? Dan ook niet huilen als er wat mis gaat.