אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » פיתוח אינטרנט » פתרונות ומאמרים על פיתוח אינטרנט » גרסאות של ספריות מיושנות עלולות לסכן את המשתמשים שלכם

גרסאות של ספריות מיושנות עלולות לסכן את המשתמשים שלכם

רן בר-זיק אוגוסט 4, 2019 7:07 am 2 תגובות

כלי של גוגל לבדיקת בעיות באתר יכול למנוע בעיות לפני שהן החלו.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

אני לא יודע כמה מכם שמו לב, אבל בתחתית האתר יש לי קישור ל: אבטחת מידע ודיווח על בעיית אבטחת מידע – זה דף צנוע למדי שבו אני מסביר על אמצעי אבטחת המידע שבהם אני נוקט באתר (לא הרבה) ומשרטט ״גבולות גזרה״ עבור חוקרי אבטחת מידע שמעונינים לבדוק את האתר. אני מודה שזה יותר בשביל הרקורד – באתר אין קוד שאני כתבתי והוא מורכב מתוספים ומתבנית חביבה וזה הכל. אבל בדרך כלל הודעה מסודרת על אבטחת מידע מראה על רצינות והיא דבר נפוץ באתרים בחו״ל.

לפיכך אתם יכולים לדמיין את ההפתעה שאחזה בי כשקיבלתי מייל ממהנדס תוכנה בשם ארז רוקח שהודיע לי על בעיה באתר. איזו בעיה? גרסת ה-jQuery שלי היתה עתיקת יומין והכילה כמה חולשות אבטחה שהיו יכולות להוביל לבעיה אצל המשתמשים שלי.

מסתבר שבגרסה 1.12 של jQuery יש כמה חולשות מעניינות. זה דבר טבעי, ספריות מתיישנות וחוקרים מוצאים בהן חורי אבטחה. מי שאחראי על הספריות האלו מוציא שדרוגים וזו האחריות של בעלי האתרים, במקרה הזה שלי, לשדרג.

הפתרון במקרה הזה היה קל – הורדתי תוסף שפשוט משדרג בכוח את גרסת ה-jQuery לגרסה האחרונה. 3. שבה אין את חורי האבטחה האלו וכמובן להודות לארז על שהודיע לי והפך את האתר שלי ליותר בטוח.

אבל איך ארז מצא את חור האבטחה הזה? האם הוא מספיק משועמם בשביל לעבור לי על קוד המקור באתר? התשובה היא לא. הוא השתמש בכלי של גוגל, שנמצא בכלי המפתחים ויכול לנתח בעיות אבטחה. אני לא יודע כמה מכם שמו לב ללשונית Audits שיש בכלי המפתחים (אני לא) – בה יש כלי שנקרא Google lighthouse. זה כלי שנועד לנתח אתרים והוא מאוד מעניין. אחד מהשימושים שלו הוא לנטר ספריות ישנות.

לשונית audits
לשונית audits בכלי המפתחים

כניסה לכלי הזה מאפשרת לכם לנתח ביצועים ומהירות של כל אתר – אבל, וזה אבל גדול – תקבלו גם התראה על ספריות ג׳אווהסקריפט וספריות אחרות שיש בהן בעיה. אם יש לכם קריאות באתר ל-HTTP רגיל, שגיאות בקונסולה או בעיות אחרות – גם תיתקלו בבעיה.

דוגמאות לשלל בעיות – במקרה הזה של אתר של מתנגדי חיסונים – הייתי אומר להם משהו אבל הם בטח מאמינים ברפואה טבעית ולא בפעולה אקטיבית נגד בעיות. אז בעסה להם.

הכלי הזה ממש נוח לשימוש. נכנסים לאתר שרוצים לבדוק, מפעילים את הכלי ורואים מה הבעיות. בסך הכל באמת נוח. הכלי גם זמין בפורמט CLI לשימוש בבילדים שלכם. שימושי מאוד.

שימו לב שאם יש לכם וורדפרס, כדאי לכם לוודא שאתם לא משתמשים בספרית jQuery או ספריה אחרת שעלולה להיות בעייתית. שימוש תכוף בכלי הזה מאוד יכול לעזור.

וכמובן תודה לארז על הרעיון ועל התיקון.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
אבטחת מידע

2 תגובות

  1. חתול הגב אוגוסט 4, 2019 בשעה 12:33 pm

    מי שאמור לעדכן ספריות אלה וורדפרס אבל מסיבות של תאימות לאחור הם בחרו שלא לעדכן את jQuery.
    https://core.trac.wordpress.org/ticket/37110

  2. אשר יגורתי הגב אוגוסט 5, 2019 בשעה 10:38 am

    תודה רבה רבה על הטיפ הנחמד והמועיל הנל
    שאלה נוספת:
    במאמרך רשמת "הורדתי תוסף שפשוט משדרג בכוח את גרסת ה-jQuery לגרסה האחרונה. "
    האם תוכל לספק לינק לתוסף הכוחני שהורדת, אני מאוד אודה לך

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד