Современная эпоха фреймворков веб-сайтов и разработки веб-сайтов, в частности, гораздо более продвинута, функциональна и настраиваема, чем когда-либо прежде.
Текущий процесс разработки и обслуживания нового веб-сайта, такого как новая платформа электронной коммерции, никогда не был таким простым в управлении с таким количеством вариантов для различных рекламных, маркетинговых, платежных и аналитических сторонних поставщиков и библиотек, которые делают жизнь так много. Полегче; они могут значительно увеличить доходы и свести к минимуму проблемы с управлением и мониторингом вашего собственного веб-сайта. Просто добавив тег script в структуру вашего собственного веб-сайта, вы можете сразу же в полной мере использовать десятки различных сторонних сервисов.
Однако эта новая возможность сопряжена с серьезным риском для безопасности.
В среднем на сайте размещается от 20 до 30 или более сторонних поставщиков и библиотек JavaScript, что приводит к появлению от нескольких десятков до сотен различных уникальных сторонних сторонние скрипты, работающие на вашем веб-сайте. Один из этих скриптов потенциально может содержать брешь в системе безопасности или уязвимость, которую можно использовать в любой момент.
Как Бен упомянул в своем сообщении в блоге: Изменения в библиотеках JavaScript, сделанные в ходе атак на стороне клиента, могут изменить поведение веб-сайта так, что посетители сайта не заметят… Эти повреждения включают в себя манипулирование пользовательским интерфейсом, перехват сеанса пользователя, а также утечку или кражу конфиденциальных данных пользователя. данные, такие как конфиденциальная личная информация, пароли учетных записей и финансовые данные, такие как информация о банковском счете или счете кредитной карты.
Предыстория — Анализ изменения поведения сторонних скриптов:
Используя датчик PerimeterX Code Defender, встроенный в веб-сайты многих ведущих брендов, у нас есть редкая возможность заглянуть в чрезвычайно интересные показатели шаблонов поведения и изменений сторонних скриптов на веб-сайтах наших клиентов.
Сторонние библиотеки и сценарии вносят постоянные изменения и дополнения в поведение с течением времени.
Большинство веб-сайтов создают запросы к в среднем 3–4 новым сетевым адресатам еженедельно — это запросы, которые отправляются на новые целевые URI третьих сторон, которые потенциально могут содержать конфиденциальные персональные данные или даже платежи. Информация.
Глядя на 5 из наших ведущих клиентских веб-сайтов (5 миллионов просмотров страниц в месяц и выше) отклонения сети / новые домены, с которыми связывались, это явление становится еще более заметным:
Количество новых доменов, с которыми связывались за прошедшее время
Количество сценариев с отклонениями сети с течением времени
Кроме того, кажется, что многие сценарии поставщиков добавляют различные действия и время от времени изменяют его поведение. Мы ежедневно выявляем маркетинговые, рекламные и другие службы, которые начали реализовывать новое поведение, такое как доступ к конфиденциальным PII (включая значения кредитной карты!), создание сетевых действий для исходящих направлений и изменение элементов DOM, найденных на веб-сайте.
Большая часть сторонних векторов подвержена использованию конфиденциальной PII и имеет постоянный сетевой контакт с различными сторонними доменами.
Наблюдая по разным векторам поведения и действий вендоров (аналитика/маркетинг/реклама и т.д.), можно сразу выделить несколько интересных закономерностей:
- Большая часть скриптов, принадлежащих поставщикам маркетинга, социальных сетей, рекламы и аналитики, имеет постоянный контакт с различными сетевыми направлениями (50–70% от отслеживаемых поставщиков), получая при этом доступ к различным пользовательским данным на веб-сайте, некоторые из которых содержат конфиденциальные персональные данные. .
- Кроме того, многие из этих поставщиков также создают файлы cookie в локальном хранилище пользователя для целей мониторинга и таргетинга. Эти файлы cookie потенциально могут содержать конфиденциальную информацию, что мы наблюдали у некоторых поставщиков; это не лучшая практика хранения конфиденциальной информации в эпоху GDPR и осведомленности о конфиденциальности.
- Кажется, что поставщики социальных сетей используют создание iframe больше всего из всех различных векторов, около 80% отслеживаемых поставщиков. Это неудивительно, поскольку разные поставщики социальных сетей могут требовать отдельного процесса аутентификации во внешнем iframe. Однако в некоторых случаях iframe создается и на конфиденциальных страницах (страницы оформления заказа и аутентификации). Это вызывает обеспокоенность по поводу утечки конфиденциальной информации на этих веб-страницах.
Сторонние библиотеки и скрипты ведут себя по-разному на разных сайтах
Поэтому вы никогда не можете доверять поведению поставщика, даже если он ведет себя так, как вы ожидаете на других веб-сайтах.
Например, даже при наблюдении за некоторыми популярными поставщиками (скрипт Google Maps), прикрепленным ниже, мы можем увидеть значительную разницу в использовании действий для каждого веб-сайта. Мы можем определить, что этот скрипт размещает прослушиватели событий на различных элементах DOM и получает доступ к значениям некоторых элементов ввода на части веб-сайтов, в то время как на других веб-сайтах это действие вообще не реализовано.
Возьмем еще один пример — популярный поставщик маркетинговых услуг (Hotjar), похоже, также ведет себя по-разному на разных веб-сайтах, реализуя различные сетевые действия и создавая фреймы только на части отслеживаемых веб-сайтов:
Эта разница между веб-сайтами также может развиваться в результате решения скрипта / поставщика реализовать или не реализовать определенное поведение. Тем не менее, владелец веб-сайта совершенно слеп, не замечая подобных изменений в поведении, которые могут произойти на его или ее веб-сайте.
Вывод:
Глядя на постоянно меняющееся поведение сторонних поставщиков на ведущих в отрасли веб-сайтах всех уровней, мы можем с уверенностью сказать, что это эволюция современной веб-разработки. Если вы хотите, чтобы ваш веб-сайт был полностью функциональным и постоянно обновлялся, от этих изменений поведения никуда не деться.
Однако, если вы хотите быть полностью защищенным и иметь возможность отслеживать сторонних поставщиков и библиотеки, найденные на вашем веб-сайте, что является обязательным в наши дни, вам следует использовать службу, которая обеспечивает постоянный мониторинг и видимость этих скриптов и их текущих действий. изменение поведения.
Первоначально опубликовано на https://www.perimeterx.com 2 февраля 2021 г.
