BT

Nouveau Early adopter ou innovator ? InfoQ a travaillé sur de nouvelles fonctionnalités pour vous. En savoir plus

Une Etude montre que le Web est rempli de Librairies JavaScript Obsolètes et Vulnérables

| par Sergio De Simone , traduit par Nicolas Frankel le 20 mars 2017. Durée de lecture estimée: 2 minutes |

Tout le monde sait que si l'utilisation d'une librairie tierce partie réduit normalement le temps de développement, elle peut également augmenter la surface d'attaque exposée par un site Web. Par conséquent, il est fondamental de garder vos dépendances à jour pour bénéficier des corrections de sécurité. Pourtant, une étude récente a révélé que 37% des 75K premiers sites Web sur Alexa présentent au moins une vulnérabilité et près de 10% en compte au moins deux. Ceux-ci incluent, par exemple, 36,7% des librairies importées de jQuery, 40,1% d'Angular et plus de 85% des importations à la fois d'Handlebars et d'YUI 3. Peut-être plus choquant encore, 26% des 500 premiers sites d'Alexa emploient des librairies vulnérables.

Le groupe de recherche de l'Université Northeastern, dirigé entre autres par Tobias Lauinger et Abdelberi Chaabane, a construit un catalogue de toutes les versions de 72 librairies open source populaires basées sur les statistiques de Bower et Wappalyzer et a cherché à identifier les librairies utilisées par les sites analysés. De plus, les chercheurs ont créé une extension Chrome pour créer l'arbre de causalité d'un site Web, utile pour montrer la raison pour laquelle une bibliothèque donnée a été importée, par exemple par inclusion directe ou de manière transitive via la publicité, le tracking ou le code des médias sociaux. L'étude a analysé plus de 133K sites Web, y compris les 75K premiers d'Alexa et 75K autres aléatoirement choisis dans le domaine .com. Cette sélection a permis de comparer les sites Web à fort trafic à d'autres moins populaires, avec des résultats sensiblement similaires.

Outre le constat déjà effectué de 37% de sites vulnérables, d'autres résultats notables de la recherche sont les suivants :

  • Les sites Web ont tendance à utiliser des versions étonnamment obsolètes de librairies tierces, avec un décalage médian étant de 1 177 jours (plus de trois ans) dans Alexa entre la version utilisée d'une librairie et sa version la plus récente.
  • L'inclusion des librairies vulnérables est souvent due à des composants externes tels que la publicité, le tracking ou les widgets des médias sociaux.
  • Un facteur de risque supplémentaire est l'inclusion en double d'une librairie, ce qui peut donner lieu à un comportement non déterministe en matière de vulnérabilité.

La recherche conclut qu'il n'est pas aisé de remédier à cet état de fait en raison de l'absence de correctifs de sécurité rétro-compatibles pour les librairies populaires et la manière dont est organisé l'écosystème JavaScript, sans :

... aucune base de données de vulnérabilité fiable, aucune liste de diffusion sécurisée maintenue par les fournisseurs de librairies, peu ou pas de détails sur les problèmes de sécurité dans les notes de version et souvent, la difficulté de déterminer quelles versions d'une bibliothèque sont affectées par une vulnérabilité spécifique.

Pourtant, cette étude semble être la première étape dans la bonne direction et elle mérite certainement d'être consultée par tous les développeurs intéressés par le développement JavaScript.

Evaluer cet article

Pertinence
Style

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter

Se connecter à InfoQ pour interagir sur ce qui vous importe le plus.


Récupérer votre mot de passe

Follow

Suivre vos sujets et éditeurs favoris

Bref aperçu des points saillants de l'industrie et sur le site.

Like

More signal, less noise

Créez votre propre flux en choisissant les sujets que vous souhaitez lire et les éditeurs dont vous désirez suivre les nouvelles.

Notifications

Restez à jour

Paramétrez vos notifications et ne ratez pas le contenu qui vous importe

BT