¿Las bibliotecas con referencias externas (CDN) son un problema de seguridad?

1

Hoy leí sobre un supuesto ataque de malware dirigido a jQuery.com

Un blogger alemán que es lo que yo llamaría un experto en seguridad de TI declaró que

  

Cualquier sitio web que trabaje con datos relacionados con individuos no debe hacer referencia a bibliotecas externas

Sin embargo, el uso de CDN es recomendado por grandes empresas como Google y se considera una mejor práctica para mejorar el rendimiento.

¿Debo alojar bibliotecas con las que deseo trabajar en mi propio espacio web, cuando mi aplicación funciona con datos confidenciales?

    
pregunta Sprottenwels 24.09.2014 - 11:44
fuente

3 respuestas

2

La respuesta a esta pregunta tiene dos lados ...

Primero :

Si usted aloja las bibliotecas usted mismo, debe revisar los avisos de seguridad en la biblioteca con regularidad y actualizar la biblioteca en consecuencia. Esta tarea puede llevar mucho tiempo si incluye varias bibliotecas que deben actualizarse de forma independiente.

Por otro lado, puede auditar cada biblioteca que use.

Además, debes evitar cualquier ataque a estas bibliotecas. Si detectas un ataque, puedes manejarlo muy rápido.

Segundo :

Si usa un CDN, el propietario del CDN actualiza todas las bibliotecas para usted. No tienes ningún trabajo para actualizar las bibliotecas.

La auditoría de las bibliotecas es (con suerte) realizada por la compañía de la CDN. No puedes influir en esta auditoría.

Un CDN debería evitar cualquier ataque a las bibliotecas alojadas. Si se detecta un ataque, entonces el CDN manejará este ataque. Quizás las bibliotecas estén comprometidas y la CDN esté entregando bibliotecas modificadas que pueden infectar a sus clientes ...

Finalmente

La CDN reduce su trabajo con las bibliotecas, ya que de lo contrario debe hacer mucho más.

Por otro lado, debe confiar en la compañía de CDN para manejar todos los problemas de seguridad lo suficientemente rápido como para no dañar a sus clientes.

    
respondido por el Uwe Plonus 24.09.2014 - 12:07
fuente
1

Según el comentario sobre la respuesta de Uwe, solo hay una ventaja de seguridad si la URL que usa hace referencia a una biblioteca con los problemas de seguridad solucionados. Aunque, para ampliar mi comentario allí, el equipo de jQuery ha estado trabajando con Google para que la última versión de producción (es decir, con correcciones de seguridad) esté disponible en un (nuevo) URI no variable. Sin embargo, Google aún debe actualizar su documentación .

Es posible que otros repositorios / desarrolladores no proporcionen este nivel de servicio.

Una consecuencia del enfoque de Google / JQuery es que Google está reduciendo el tiempo de caché en la URL genérica, lo que potencialmente socava el beneficio ya limitado de usar un repositorio compartido.

    
respondido por el symcbean 24.09.2014 - 15:27
fuente
0

Usar bibliotecas de terceros es siempre la forma más segura y segura de hacerlo (si confía en ellas). Para verificar las bibliotecas de terceros, puede (por ejemplo) usar el o el comprobador de dependencia owasp . Eso se vuelve difícil para el contenido puro / sitios de script, supongo. Creo que su experto fue evitar el uso de contenido extranjero en sus sitios web, no bibliotecas.

    
respondido por el user2504380 24.09.2014 - 12:03
fuente

Lea otras preguntas en las etiquetas