Og hva’ sagde jeg?

Indenfor web-sikkerhed har jeg længe argumenteret for at man ikke skal inkludere scripts fra andre sites. Det er en af de ting mine kolleger har ignoreret oftest. Weekendens crypto-miner hack er så eksemplet på hvordan det kan gå…

Konkret var et script fra TextHelp, der bruges på tusindvis af sites, primært regeringssites, der blev hacket og dermed indsat på alle disse sites.

Heldigvis var det, denne gang, kun et crypto-miner hack så det eneste der skete var at en hacker blev rigere og en masse brugere oplevede at deres maskiner blev langsommmere, mens de besøgte disse sites. Det kunne have været meget værre.

Hvis man absolut vil bruge eksternt hostede scripts så er der endda redskaber til at sikre sig; SRI og CSP.

(note: Dette site er hostet på wordpress.com og bruger 2 eksterne scripts – jeg har ingen mulighed for at styre deres referencer)

Reklamer
Dette indlæg blev udgivet i Security og tagget , , , , , . Bogmærk permalinket.

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out /  Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out /  Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out /  Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out /  Skift )

w

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.