Og hva’ sagde jeg?

Indenfor web-sikkerhed har jeg længe argumenteret for at man ikke skal inkludere scripts fra andre sites. Det er en af de ting mine kolleger har ignoreret oftest. Weekendens crypto-miner hack er så eksemplet på hvordan det kan gå…

Konkret var et script fra TextHelp, der bruges på tusindvis af sites, primært regeringssites, der blev hacket og dermed indsat på alle disse sites.

Heldigvis var det, denne gang, kun et crypto-miner hack så det eneste der skete var at en hacker blev rigere og en masse brugere oplevede at deres maskiner blev langsommmere, mens de besøgte disse sites. Det kunne have været meget værre.

Hvis man absolut vil bruge eksternt hostede scripts så er der endda redskaber til at sikre sig; SRI og CSP.

(note: Dette site er hostet på wordpress.com og bruger 2 eksterne scripts – jeg har ingen mulighed for at styre deres referencer)

This entry was posted in Security and tagged , , , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.