Seguridad externa de JS

1

Soy un poco nuevo en desarrollo de seguridad. He trabajado principalmente con cosas de procesamiento backend.

Me asignaron información sobre cómo proteger un javascript externo que importamos de Facebook, Twitter y Google.

Una opción es que estén alojados localmente (lo que puede no ser posible debido a las actualizaciones de dichos js),

enlace

enlace

¿Puedo recibir información sobre otras opciones posibles para asegurar los js externos que estamos vinculando en nuestro sitio web?

Cualquier idea es bienvenida,

Muchas gracias,

    
pregunta rookiedev0706 23.04.2015 - 08:22
fuente

3 respuestas

6

Esto tiene más que ver con la gestión de riesgos. No tienes ningún contrato con Facebook o Twitter. Por lo tanto, existe el riesgo de que cambien el contenido del archivo JavaScript sin que usted lo sepa. Esto puede ser malicioso o accidental, de cualquier manera, usted no tiene control de este riesgo.

Entonces, a menos que obtenga un contrato con la parte externa que le transfiera la responsabilidad, no hay nada más que pueda hacer y debería almacenar las fuentes localmente.

    
respondido por el Lucas Kauffman 23.04.2015 - 08:51
fuente
0

El hospedaje local no les impedirá hacer nada malicioso. En este caso, si está importando un archivo JavaScript desde una fuente externa a su página, tendrá que confiar al 100% en el JavaScript, ya que este script se ejecutará en su propio origen.

Alojarlos localmente puede proporcionar alguna ventaja en caso de que la fuente en la que confías sea comprometida. Lo máximo que puede hacer es revisar manualmente el archivo externo, en busca de errores y puertas traseras, y luego revisar las actualizaciones de esos scripts y revisar los cambios. ¡Pero esto puede ser un verdadero dolor! La mejor solución es confiar en la fuente y NUNCA NUNCA incluya JavaScript de una fuente desconocida en su aplicación.

    
respondido por el NeverStopLearning 23.04.2015 - 08:38
fuente
0

Todas las publicaciones anteriores son correctas en el sentido de que debe confiar en el tercero para poder utilizar de forma segura los recursos js externos. Lo único que agregaría a eso es asegurarme de que está accediendo a esos recursos a través de SSL y de que es una implementación actualizada (conjunto de cifrado adecuado, TLS v1, etc.). Si va a confiar en el tercero, se necesita SSL para asegurarse de que está extrayendo el recurso de ese mismo tercero.

    
respondido por el user52472 23.04.2015 - 15:31
fuente

Lea otras preguntas en las etiquetas