Início » Internet » A web está insegura por causa de JavaScript velho

A web está insegura por causa de JavaScript velho

Paulo Higa Por

Acesse um site qualquer. A chance de seu navegador executar uma biblioteca JavaScript é muito grande: o jQuery, mais popular de todos, está inclusive neste artigo que você começou a ler. Tais bibliotecas permitem o desenvolvimento de aplicações de forma rápida e compatível com um grande número de browsers. Só que elas possuem falhas e, como você deve imaginar, a web está cheia dessas versões desatualizadas.

Pesquisadores da Northeastern University analisaram 133 mil sites e descobriram que 37% possuem ao menos uma biblioteca JavaScript com brechas de segurança conhecidas. Em 9,7% dos domínios pesquisados, havia duas ou mais (!) bibliotecas vulneráveis. A situação é menos pior do que há três anos, quando um estudo semelhante mostrou que 60% das páginas carregavam códigos com falhas.

Entre os 75 mil sites mais populares do mundo, de acordo com o ranking do Alexa, a biblioteca mais comum é o jQuery, com 84,5% de participação nas páginas. Desses sites, 36,7% utilizam uma versão vulnerável, o que pode causar uma bela dor de cabeça: em 2013, por exemplo, uma falha no jQuery permitia que pessoas mal-intencionadas injetassem código malicioso por meio de uma tag específica.

A situação é pior em se tratando de outras bibliotecas: 40,1% dos sites com Angular, 86,6% com Handlebars e 87,3% com YUI (desenvolvida pelo Yahoo) usam versões com falhas de segurança. Essas bibliotecas desatualizadas podem abrir caminho para ataques de cross-site scripting (XSS), em que um usuário mal-intencionado injeta código malicioso em páginas “confiáveis”; e para requisições forjadas e fixação de sessão, em que uma pessoa pode enganar um sistema se passando por outra.

O problema é causado pela falta de manutenção nos sites — ou mesmo falta de cuidado do desenvolvedor, que não atualiza constantemente as bibliotecas JavaScript embutidas nas páginas. Mas mesmo nos 75 mil sites mais populares, o cenário não é tão melhor assim: 21% das páginas utilizam bibliotecas vulneráveis, contra 37% em todos os domínios do estudo.

Para nós, não há muito o que fazer a não ser cobrar para que as empresas atualizem suas bibliotecas. Mas o melhor, mesmo, é que os desenvolvedores parem de enfiar jQuery em qualquer coisa só para botar animação num link.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Guilherme Batista
Falso :P. Já existe o Angular 2, o React, Prototype, etc, etc, etc. Na verdade, um dos enormes problemas do front end é que parece que nasce um framework javascript a cada 6 meses. É uma bagunça da porra :(
Mario Junior ?????????
E também porquê ninguém tem interesse pelo visto em criar algo novo.
Guilherme Batista
Por que não tem alternativas a ele.
Guilherme Batista
"Mas o melhor, mesmo, é que os desenvolvedores parem de enfiar jQuery em qualquer coisa só para botar animação num link." Eu sou tão contra o uso indiscriminado de Jquery (e de qq biblioteca / framework que o valha) que só uso para fazer requisições ajax, porque, convenhamos, ainda não fizeram nada muito melhor. E é aí que se separa meninos de homens. Meninos vão correndo pra qualquer framework modinha e enfiam Material Design até no c* da mãe se deixarem. Homens vão olhar para as animações e falar: "só isso? Faço com meia dúzia de linhas em CSS".
BassVix
O pessoal reclama sem motivo que a página do Tecnoblog tem ads (tem apenas uma chamada relativa a isso), porque não viu o site do Terra, impossível navegar sem adblock, UOL idem.
Tiago Celestino
O grande problema de se manter aplicações atualizadas é o custo que isso pode causar. Um bom exemplo: hoje o jQuery está na versão 3.1.1, se for alterar de uma versão 2.1.1 por exemplo, com certeza vai quebrar muita coisa, logo, o melhor de tudo é usar menos javascript para tudo. Sim, quem anima elementos com qualquer lib/framework externo é "amador". :D
Tiago Celestino
Ele não substitui, até porque a ideia do WebAssembly é mais voltado para performance de aplicações mais complexas e que exigem uma renderização "pesada".
Theo Queiroz
Ow véi, apaga aí esse comentário que ainda dá tempo
Daniel H. G. Mescoloto
porque não tem alternativas. Todo browser suporta html, css e javascript. html para colocar os elementos, css para o visual e js para ... tudo xD. "programar" mesmo é só JS
Gustave Dupré
É o Unity, com tema do windows 10 light, que nada lembra o windows 10.
Jonas S. Marques
Isso mesmo. Tente verificar se ela não gera nenhum tipo de alert ou coisa do tipo no site, ou se ela não é uma área dinâmica. Fora isso tudo certin :)
Thiago Mobilon
Ah, entendi. É um slider no rodapé, com produtos da Tecnostore. Pelo que entendi, a cada troca de slide, isso interfere no leitor de tela, é isso? É uma propaganda que não atrapalha em nada a parte visual do site: não existe refresh ou qualquer coisa desse tipo. E ela fica láaa no rodapé, justamente pra não atrapalhar a leitura. Vou verificar se tem alguma forma de resolver isso!
NoobIsrael
Qual interface gráfica é essa no Ubuntu?
Mario Junior ?????????
Eu nunca vi uma linguagem de programação tão criticada como o Javascript. Por que não substituem esse troço logo de uma vez? Falando nisso, li noticias acerca do webassembly que foi implementado no Firefox e agora no Chrome. Ele é o substituto do javascript? Ou tem outra função?
Marcogro
Navegador desatualizado, extensões e claro malwares...
Exibir mais comentários