Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza

ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR ha introdotto con Magic6 Pro la funzione Magic Portal che consente, tramite intelligenza artificiale, di suggerire scorciatoie agli utenti in modo da permettere di passare e accedere facilmente ai servizi tra app e dispositivi con un semplice tocco. Vi spieghiamo qui come funziona
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 15-03-2017, 12:42   #1
c.m.g
Senior Member
 
L'Avatar di c.m.g
 
Iscritto dal: Mar 2006
Messaggi: 22109
[NEWS] JavaScript e le librerie insicure

mercoledì 15 marzo 2017

Spoiler:
Quote:
I ricercatori evidenziano la scarsa vocazione alla sicurezza del linguaggio di scripting più popolare, una tecnologia usata universalmente che però dipende troppo dalle librerie di codice non aggiornate. Il futuro? Problematico


Roma - Il futuro del Web è insicuro e il presente è ancora peggio. Questa, almeno, è una delle conclusioni che si possono trarre dalla lettura del nuovo studio realizzato dai ricercatori della Northeastern University sull'uso, anzi l'abuso delle librerie JavaScript (JS) obsolete in un numero estremamente alto di siti Web. Un problema, tra l'altro, di facile soluzione a meno di uno sforzo a opera dell'intera industria.

Analizzando le "dipendenze" di codice dei 75.000 principali siti della classifica Alexa e di 75.000 siti ".com" scelti a caso, i ricercatori del Massachusetts hanno scoperto che l'88 per cento dei siti Alexa e il 47 per cento dei siti .com fa uso di almeno una libreria JS affetta da vulnerabilità di sicurezza già note.

JavaScript è un linguaggio di scripting "notorio" per le sue falle, spiegano i ricercatori, ma anche per essere la tecnologia di sviluppo più popolare al mondo se si esclude l'ecosistema dei gadget mobile; una parte significativa di questa popolarità è ovviamente dovuta alla possibilità di "estendere" le funzionalità del linguaggio grazie a librerie esterne già strutturate come jQuery, Angular e Bootstrap.Ma una volta implementato il codice di un sito basandosi su una di queste librerie, spiegano i ricercatori, i coder tendono ad "abbandonare" le necessarie pratiche di sicurezza operativa (opsec) trascurando il necessario aggiornamento di tutti i "pezzi" di codice presenti sul server.

Le librerie vulnerabili più "popolari" usate dai siti analizzati comprendono jQuery (36,7 per cento), Angular (40,1 per cento), Handlebars (86,6 per cento) e persino la defunta Yahoo! User Interface Library (YUI) nell'87,3 per cento dei casi. In media, il codice JS di un sito Web si basa su una libreria vecchia di 1.177 giorni rispetto alla release più recente disponibile.

A peggiorare ulteriormente le cose, poi, ci si mettono i framework e i siti Web che includono diverse versioni di una libreria JS aumentando esponenzialmente la superficie di attacco da parte dei cyber-criminali; l'integrazione di script per l'advertising e il supporto dei social network, infine, apre le porte a un ulteriore livello di rischio, visto che in questo caso l'eventuale uso di librerie vulnerabili non dipende dall'amministratore del sito.

Come si esce da una situazione del genere? Stando ai ricercatori non se ne esce, almeno non nell'immediato futuro: l'uso di possibili contromisure ai rischi delle librerie vulnerabili (ad esempio tramite l'impiego di funzionalità avanzate di una rete CDN) sono estremamente rari, e finché l'industria tecnologia non troverà il modo di tenere traccia di tutte le dipendenze JS fallate in circolazione la sicurezza continuerà a non essere una priorità per i listati JavaScript.

Alfonso Maruccia





Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.
c.m.g è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Recensione HONOR Pad 9: ampio display e audio top per il tablet per l'intrattenimento Recensione HONOR Pad 9: ampio display e audio to...
AirPods e iPhone 15 in offerta: modello ...
Offerta Ring Intercom ed Echo Pop: se co...
Tesla bot Optimus: ecco quanto costa il ...
ECOVACS DEEBOT T30 PRO OMNI con sconto d...
Disney+: perché il colosso ha cam...
Prezzo bomba per Google Pixel 8: ora cos...
Google Pixel 9 arriverà in tre ve...
One UI 6.1 con Galaxy AI da oggi, 28 mar...
Ninja, il famoso streamer ha scoperto di...
Xi Jinping: nessuno può fermare i...
Un veicolo elettrico su quattro venduto ...
Super portatile HP a prezzo di svendita:...
Motorola spopola su Amazon: prezzi assur...
Il treno svizzero Flirt H2 è da G...
SpaceX: secondo static fire per Starship...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 09:27.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www3v