Open Source im professionellen Einsatz

Studie zur Sicherheit von Javascript-Bibliotheken

10.03.2017

Wie praktisch, dass Javascript für alle möglichen Zwecke Bibliotheken anbietet. Wie blöd, dass diese mit hoher Wahrscheinlichkeit schon bald nach der Installation unsicher sind, wie eine vergleichende Studie zeigt. Die Anbieter der Bibliotheken kümmert es offenbar kaum.

372

Auf dem Network and Distributed System Security Symposium 2017 (NDSS 2017) wurde eine Studie [PDF] von Tobias Lauinger, Abdelberi Chaabane, Sajjad Arshad, William Robertson, Christo Wilson und Engin Kirda vorgestellt, die den Javascript-Code von 133 000 Webseiten analysiert und am Ende 72 populäre Javascript-Bibliotheken miteinander verglichen hat.

Dazu untersuchten die Forscher die Top 75 000 Seiten von Alexa sowie 75 000 zufällige Domains mit einer ".com"-Endung. Das ließ einen Vergleich zwischen der Javascript-Nutzung von populären und unpopulären Webseiten zu. Demnach setzten rund 88 Prozent der Alexa-Seiten auf bekannte Javascript-Bibliotheken im Kontrast zu rund 47 Prozent der zufälligen ".com"-Seiten.

Mehr als ein Drittel der Alexa-Webseiten (38 Prozent) brachten mindestens eine verwundbare Bibliothek mit, 10 Prozent sogar zwei oder mehr. Bei den ".com"-Seiten waren es 37 Prozent und 4 Prozent. Auf die Bibliotheken selbst bezogen betrafen die Sicherheitslücken Jquery (37 Prozent), Angular (40 Prozent), Handlebars (87 Prozent) und YUI-Inclusions (87 Prozent). Die Autoren der Studie fanden es nicht nur alarmierend, dass viele Sites an veralteten Bibliotheken wie YUI und SWF-Object festhalten, sondern die durchschnittliche Webseite Bibliotheksversionen verwendet, die 1177 Tage älter ist als die neueste Release. Skurril: 4 Prozent der Jquery-Webseiten des Alexa Crawl binden dieselbe Bibliotheksversion in einem Dokument mehrfach ein, 11 Prozent sogar verschiedene Versionen im selben Dokument.

Gruppierten sie die Alexa-Seiten nach dem Schema von McAfees Smartfilter Webkategorisierung, erwies sich, dass 52 respektive 50 Prozent der Finanz- und Regierungsseiten angreifbar sind. Spam- und Malware-Seiten rangieren bei etwa 24 Prozent, während Pornoseiten am wenigsten verwundbar sind, mit rund 19 Prozent.

Die traurigste Entdeckung sei aber, dass es im Bereich der Javascript-Bibliotheken keine einheitlichen Datenbanken für Sicherheitslücken gebe, oft keine Sicherheits-Mailinglisten, wenige Hinweise auf Security-Probleme in den Release Notes. Daher habe man die Infos für die Studie aus verschiedenen Quellen zusammengesucht, etwa der Open Source Vulnerability Database (OSVDB), der National Vulnerability Database (NVD), öffentlichen Bugtrackern, Github-Kommentaren und Blogposts.

Bezeichnend für die Sicherheit im Javascript-Bereich war für die Autoren, das eine Suche nach "Sicherheit" und "Sicherheitslücke" im offiziellen Lernbereich für die populäre Jquery-Bibliothek keine Ergebnisse zurück lieferte. Dies sei eine "exzellente Zusammenfassung der Security im Bereich der Javascript-Bibliotheken, Stand August 2016". Insgesamt kommen die Autoren zu dem Schluss: "Security scheint im Javascript-Bibliotheken-Ökosystem keine Priorität zu besitzen."

Ähnliche Artikel

  • Wordpress 4.5 vereinfacht Textbearbeitung

    Wordpress 4.5 bringt Verbesserungen am Editor, Previews für Responsive Design und ein schnelleres Skalieren von Bildern.

  • Bücher

    Das Linux-Magazin bespricht das erste Buch, das sich dem IMAP-Server Dovecot widmet. Außerdem gibt es eine Einführung in moderne Technologien für Webseiten wie HTML 5 und CSS 3.

  • IBM stiftet HTML-Editor Maqetta als Open Source

    Das Unternehmen hat den HTML-Editor Maqetta, der seinerseits im Browser läuft, unter freien Lizenzen an die Dojo Foundation übergeben.

  • Dynamik im Browser

    Bücher und Zeitschriften waren lange Vorbild bei der Gestaltung von Webseiten. Die Navigation glich dem Umblättern: Jeder Klick auf einen Link öffnete eine neue Seite. Viele aktuelle Webpräsenzen bieten jedoch dank Ajax eine Oberfläche, die sich beinahe wie eine Desktop-Anwendung verhält.

  • Studie: Fast die Hälfte der Anwender benutzt unsichere Browser

    Ein Team von Mitarbeitern der ETH Zürich, Google Switzerland und IBM Internet Security Systems warnt in seinem Aufsatz vor Attacken gegen unsichere Browser-Versionen. Nach den Befunden der Studie sind die betroffenen Versionen weit verbreitet.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.