Novinky

Více než 30 IDM realizací v Česku i zahraničí

AMI Praha Bezpečnostní novinky 26. 11. 2018
Bezpečnostní novinky 26. 11. 2018

Bezpečnostní novinky 26. 11. 2018

Vývojářský ekosystém moderního webového frontendu na tom není dobře. Zlé jazyky odjakživa tvrdily, že kultura separátního balíčkování banalit a nedostatečné disciplíny povede ke katastrofě. Ta opravdu nastala https://blog.npmjs.org/post/141577284765/kik-left-pad-and-npm a znamenala první otřesení důvěry v nejmladší generaci inženýrů okolo javascriptu a webu a jejich schopnost zastávat tak zodpovědnou úlohu v současném světě.

Přestože left-pad fiasko přineslo nějaké pozitivní změny, bylo stále veřejným tajemstvím, že node.js ekosystém je z bezpečnostního hlediska hořící skládka pneumatik https://medium.com/commitlog/the-internet-is-at-the-mercy-of-a-handful-of-people-73fac4bc5068. Nepomohla ani varování v podobě zcela konkrétních návodů, jak využít vývojářskou infrastrukturu ke globálnímu rozšíření malware nic netušícím návštěvníkům zcela nevinných a spolehlivých stránek https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5.

A proto se to dnes stalo znovu, tentokrát už doopravdy https://github.com/dominictarr/event-stream/issues/116. Využijme to k tomu, abychom si připomněli, že návštěvu prakticky jakékoliv webové stránky si můžete představit tak, že na svém počítači de-facto spouštíte neznámý program napsaný stovkami náhodných neznámých vývojářů bez jakékoli supervize. Mít defaultně vypnutý javascript už nevypadá jako paranoidní magořina, že?

Autor: František Řezáč