Gracias por el A2A.
Para mí, la parte realmente aterradora de esto es que involucró la inyección de JavaScript en sesiones web de usuarios regulares de Internet que no habían estado (al menos tan cerca como podemos ver) sujetos a ninguna infección de malware.
La causa raíz de esto es un repositorio corrupto (intencionalmente, en este caso) de JavaScript que contiene elementos destinados a aumentar la carga en el sitio de destino.
- ¿Qué problemas de seguridad surgen en un entorno de tiempo compartido? ¿Puede una máquina de tiempo compartido tener el mismo grado de seguridad que una máquina dedicada?
- Según haveibeenpwned.com, mi cuenta de Dropbox fue pirateada. ¿Significa que mis archivos se pueden encontrar en Internet?
- ¿Cuál es su proceso para mantenerse al día con las vulnerabilidades de seguridad con identificadores CVE asignados?
- ¿Cuál es el mejor antivirus para Windows 8?
- ¿El hosting ubicado en Suiza realmente le da a ProtonMail una ventaja sobre sus competidores (Tutanota, Mailbox) en términos de protección de la privacidad?
Pienso en cosas como esta todo el tiempo: cuántas bibliotecas usa un sitio determinado, cuántas referencias de terceros hace un sitio, cuánto de “el sitio” realmente no está en “el sitio” …
En SlideStorm, me encontré con esto cuando teníamos un cliente que estaba detrás de un firewall de lista blanca, y tuve que compilar una lista de sitios que tenían que estar en la lista blanca para que el sitio funcionara. Claro, esperaba Google Analytics, y un montón de cosas de las bibliotecas de las API de Google, pero la lista seguía y seguía y seguía … y tuve que preguntarme “¿Realmente podemos confiar en todo esto?”
Hay un montón de artículos populares sobre 3 razones por las que deberías dejar que Google aloje jQuery por ti y, aunque no estoy particularmente preocupado por Google en sí , la tendencia es inquietante: los desarrolladores dependen cada vez más del código que no está bajo su control , servido desde una infraestructura que no está bajo su control y que es imposible de monitorear o auditar.
No puede prohibir JavaScript, tanto como me gustaría, porque aproximadamente el 100% de todos los sitios web dejarían de funcionar inmediatamente.
Y tampoco puede prohibir el uso de bibliotecas desarrolladas y alojadas por terceros. Porque aproximadamente el 100% de todos los desarrolladores web dejarían de funcionar inmediatamente … (ok, eso es aproximadamente la mitad en broma, pero solo la mitad)
La protección HTTPS es un paso en la dirección correcta, pero aún no hace nada si hay un nivel de participación de estado-nación. Si voy a corromper el repositorio y los CDN asociados, puede apostar a que voy a proporcionar certificados SSL de reemplazo o encontrar otra forma de evitarlo. (Solo he estado pensando en esto durante unos 20 minutos, pero estoy seguro de que puedo llegar a algo con el tiempo dado)
No estoy seguro de cuál será la solución correcta. HTTPS en todas las páginas, todo el tiempo, hará mucho para eliminar la piratería informal, pero para algo de esta escala, estoy bastante seguro de que necesitaremos una nueva clase de solución.