Novinky

Vývojářský ekosystém moderního webového frontendu na tom není dobře. Zlé jazyky odjakživa tvrdily, že kultura separátního balíčkování banalit a nedostatečné disciplíny povede ke katastrofě. Ta opravdu nastala https://blog.npmjs.org/post/141577284765/kik-left-pad-and-npm a znamenala první otřesení důvěry v nejmladší generaci inženýrů okolo javascriptu a webu a jejich schopnost zastávat tak zodpovědnou úlohu v současném světě.

Přestože left-pad fiasko přineslo nějaké pozitivní změny, bylo stále veřejným tajemstvím, že node.js ekosystém je z bezpečnostního hlediska hořící skládka pneumatik https://medium.com/commitlog/the-internet-is-at-the-mercy-of-a-handful-of-people-73fac4bc5068. Nepomohla ani varování v podobě zcela konkrétních návodů, jak využít vývojářskou infrastrukturu ke globálnímu rozšíření malware nic netušícím návštěvníkům zcela nevinných a spolehlivých stránek https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5.

A proto se to dnes stalo znovu, tentokrát už doopravdy https://github.com/dominictarr/event-stream/issues/116. Využijme to k tomu, abychom si připomněli, že návštěvu prakticky jakékoliv webové stránky si můžete představit tak, že na svém počítači de-facto spouštíte neznámý program napsaný stovkami náhodných neznámých vývojářů bez jakékoli supervize. Mít defaultně vypnutý javascript už nevypadá jako paranoidní magořina, že?

Autor: František Řezáč