Einbinden von fremden Quellen

Kommentieren Sep 24 2014

 

Man muss ja nicht immer das Rad neu erfinden. Man sollte auf bewährtes und erprobtes setzten.

Da es aber zur Mode geworden ist fremde Code Bibliotheken ohne Validierung und On-Demand einzubinden sind Fehler und ungewollte Abhängigkeiten zu erwarten.

Eine Gefahr davon ist, dass die Eingebundene Quelle manipuliert wird:
Large malvertising campaign under way involving DoubleClick and Zedo

The reason this is really big is because it involves doubleclick.net (a subsidiary of Google for online ads) and Zedo (a popular advertising agency).



JQUERY.COM MALWARE ATTACK PUTS PRIVILEGED ENTERPRISE IT ACCOUNTS AT RISK

The jQuery library is a very popular toolkit for developing websites with dynamic content and is widely used by developers within enterprises. According to internal jQuery research, jQuery is used by 30% of websites on the entire Internet, including 70% of the top 10,000 websites in the world.


Da lohnt es sich als Angreifer…

Wenn man das verwenden von solchen Bibilotheken nicht On-Demand macht, dann kann so ein Angriff keine solche großen Auswirkungen haben. Klar kann der Download immer noch infiziert werden aber die Angriffsfläche und betroffenen User sind viel kleiner.