Acesse um site qualquer. A chance de seu navegador executar uma biblioteca JavaScript é muito grande: o jQuery, mais popular de todos, está inclusive neste artigo que você começou a ler. Tais bibliotecas permitem o desenvolvimento de aplicações de forma rápida e compatível com um grande número de browsers. Só que elas possuem falhas e, como você deve imaginar, a web está cheia dessas versões desatualizadas.

Pesquisadores da Northeastern University analisaram 133 mil sites e descobriram que 37% possuem ao menos uma biblioteca JavaScript com brechas de segurança conhecidas. Em 9,7% dos domínios pesquisados, havia duas ou mais (!) bibliotecas vulneráveis. A situação é menos pior do que há três anos, quando um estudo semelhante mostrou que 60% das páginas carregavam códigos com falhas.

Entre os 75 mil sites mais populares do mundo, de acordo com o ranking do Alexa, a biblioteca mais comum é o jQuery, com 84,5% de participação nas páginas. Desses sites, 36,7% utilizam uma versão vulnerável, o que pode causar uma bela dor de cabeça: em 2013, por exemplo, uma falha no jQuery permitia que pessoas mal-intencionadas injetassem código malicioso por meio de uma tag específica.

A situação é pior em se tratando de outras bibliotecas: 40,1% dos sites com Angular, 86,6% com Handlebars e 87,3% com YUI (desenvolvida pelo Yahoo) usam versões com falhas de segurança. Essas bibliotecas desatualizadas podem abrir caminho para ataques de cross-site scripting (XSS), em que um usuário mal-intencionado injeta código malicioso em páginas “confiáveis”; e para requisições forjadas e fixação de sessão, em que uma pessoa pode enganar um sistema se passando por outra.

O problema é causado pela falta de manutenção nos sites — ou mesmo falta de cuidado do desenvolvedor, que não atualiza constantemente as bibliotecas JavaScript embutidas nas páginas. Mas mesmo nos 75 mil sites mais populares, o cenário não é tão melhor assim: 21% das páginas utilizam bibliotecas vulneráveis, contra 37% em todos os domínios do estudo.

Para nós, não há muito o que fazer a não ser cobrar para que as empresas atualizem suas bibliotecas. Mas o melhor, mesmo, é que os desenvolvedores parem de enfiar jQuery em qualquer coisa só para botar animação num link.

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Temas populares