Librerie JavaScript obsolete: un rischio per la sicurezza dei siti

Uno studio ha valutato i potenziali rischi derivanti dall'impiego di librerie JavaScript obsolete, scoprendo che sono ampiamente utilizzate online

JavaScript: molte librerie non sono aggiornate

I ricercatori della Northeastern University (Boston, Massachusetts) hanno pubblicato recentemente un dettagliato paper (consultabile online) dedicato alle librerie JavaScript, strumenti ai quali gli sviluppatori ricorrono ormai da diverso tempo per migliorare le funzionalità del proprio sito. Angular, Bootstrap e jQuery sono alcune delle librerie più note ed apprezzate che semplificano ad esempio la manipolazione di elementi HTML della pagina e la costruzione dell’interfaccia utente.

Non bisogna allora sorprendersi se JavaScript (JS da ora in poi) è così diffuso online. JS è tuttavia noto anche per le problematiche di sicurezza:

While JavaScript is the de-facto standard for developing client-side code on the Web, at the same time it is notorious for security vulnerabilities. A common, lingering problem is Cross-Site Scripting (XSS), which allows an attacker to inject malicious code (or HTML) into a website. In particular, if a JavaScript library accepts input from the user and does not validate it, an XSS vulnerability might creep in, and all websites using this library could become vulnerable

Nel paper sono stati analizzati 75.000 portali presenti nella classifica stilata da Alexa ed altri 75.000 siti .COM scelti a caso. In base a quanto constatato dai ricercatori, un’alta percentuale di versioni vulnerabili delle librerie continuano ad essere utilizzate online: ciò avviene nel 36.7% dei siti che utilizzano jQuery, nel 40.1% dei siti che si appoggiano ad Angular. I valori salgono fino all’87.3% con YUI (Yahoo User Interface Library abbandonata dalla stessa Yahoo) ed all’86.6% con Handlebars.

Librerie JavaScript: difficile trovare una soluzione

La situazione è ulteriormente aggravata dall’impiego di moduli di terze parti (per implementare funzioni social, per il tracking e l’advertising), che a loro volta possono caricare automaticamente librerie potenzialmente vulnerabili – difficile capire quali siano caricate e quante vengano ancora aggiornate periodicamente dai “creatori”.

Gli sviluppatori sembrano inoltre non considerare come una priorità il potenziale problema delle vulnerabilità, nel paper si legge infatti che:

In fact, the median website in our dataset is using a library version 1,177 days older than the newest release, which explains why so many vulnerable libraries tend to linger on the web

Anche coloro che potrebbero usufruire di utili funzionalità come la “version aliasing”, solitamente offerta dai CDN e che permette in sintesi allo sviluppatore di mantenere aggiornate le librerie utilizzate da determinate applicazioni, non sembrano conoscere o sfruttare tali servizi – in relazione a jQuery, la funzione è usata solo dall’1.1% dei siti analizzati.

Come risolvere il problema? I ricercatori non sono in grado di fornire una risposta. Ad oggi, osservano, solo il 3% dei siti sarebbe in grado di patchare le vulnerabilità con una semplice operazione di aggiornamento. Per il restante 97% ciò si tradurrebbe invece in una serie di incompatibilità varie e malfunzionamenti delle applicazioni.

Fonte: 1, 2

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *