גרסאות של ספריות מיושנות עלולות לסכן את המשתמשים שלכם

אני גאה לבשר לכם על יציאתו לאור של הספר שלי: "ללמוד ג'אווהסקריפט בעברית". הספר מלמד מרמת מתחילים עד רמת מתקדמים מאוד ובעברית! כ-2000 איש שותפים לפרויקט שגייס כ-300,000 ש"ח ובתמיכת הקריה האקדמית אונו והחברות וויקס, אאוטבריין, אלמנטור, Chegg, איירון סורס, Really Good ו-Honey Book. עדיין אפשר להצטרף לפרויקט! ליחצו כאן למידע על הספר וגם לפרקים בחינם

אני לא יודע כמה מכם שמו לב, אבל בתחתית האתר יש לי קישור ל: אבטחת מידע ודיווח על בעיית אבטחת מידע – זה דף צנוע למדי שבו אני מסביר על אמצעי אבטחת המידע שבהם אני נוקט באתר (לא הרבה) ומשרטט ״גבולות גזרה״ עבור חוקרי אבטחת מידע שמעונינים לבדוק את האתר. אני מודה שזה יותר בשביל הרקורד – באתר אין קוד שאני כתבתי והוא מורכב מתוספים ומתבנית חביבה וזה הכל. אבל בדרך כלל הודעה מסודרת על אבטחת מידע מראה על רצינות והיא דבר נפוץ באתרים בחו״ל.

לפיכך אתם יכולים לדמיין את ההפתעה שאחזה בי כשקיבלתי מייל ממהנדס תוכנה בשם ארז רוקח שהודיע לי על בעיה באתר. איזו בעיה? גרסת ה-jQuery שלי היתה עתיקת יומין והכילה כמה חולשות אבטחה שהיו יכולות להוביל לבעיה אצל המשתמשים שלי.

מסתבר שבגרסה 1.12 של jQuery יש כמה חולשות מעניינות. זה דבר טבעי, ספריות מתיישנות וחוקרים מוצאים בהן חורי אבטחה. מי שאחראי על הספריות האלו מוציא שדרוגים וזו האחריות של בעלי האתרים, במקרה הזה שלי, לשדרג.

הפתרון במקרה הזה היה קל – הורדתי תוסף שפשוט משדרג בכוח את גרסת ה-jQuery לגרסה האחרונה. 3. שבה אין את חורי האבטחה האלו וכמובן להודות לארז על שהודיע לי והפך את האתר שלי ליותר בטוח.

אבל איך ארז מצא את חור האבטחה הזה? האם הוא מספיק משועמם בשביל לעבור לי על קוד המקור באתר? התשובה היא לא. הוא השתמש בכלי של גוגל, שנמצא בכלי המפתחים ויכול לנתח בעיות אבטחה. אני לא יודע כמה מכם שמו לב ללשונית Audits שיש בכלי המפתחים (אני לא) – בה יש כלי שנקרא Google lighthouse. זה כלי שנועד לנתח אתרים והוא מאוד מעניין. אחד מהשימושים שלו הוא לנטר ספריות ישנות.

לשונית audits
לשונית audits בכלי המפתחים

כניסה לכלי הזה מאפשרת לכם לנתח ביצועים ומהירות של כל אתר – אבל, וזה אבל גדול – תקבלו גם התראה על ספריות ג׳אווהסקריפט וספריות אחרות שיש בהן בעיה. אם יש לכם קריאות באתר ל-HTTP רגיל, שגיאות בקונסולה או בעיות אחרות – גם תיתקלו בבעיה.

דוגמאות לשלל בעיות – במקרה הזה של אתר של מתנגדי חיסונים – הייתי אומר להם משהו אבל הם בטח מאמינים ברפואה טבעית ולא בפעולה אקטיבית נגד בעיות. אז בעסה להם.

הכלי הזה ממש נוח לשימוש. נכנסים לאתר שרוצים לבדוק, מפעילים את הכלי ורואים מה הבעיות. בסך הכל באמת נוח. הכלי גם זמין בפורמט CLI לשימוש בבילדים שלכם. שימושי מאוד.

שימו לב שאם יש לכם וורדפרס, כדאי לכם לוודא שאתם לא משתמשים בספרית jQuery או ספריה אחרת שעלולה להיות בעייתית. שימוש תכוף בכלי הזה מאוד יכול לעזור.

וכמובן תודה לארז על הרעיון ועל התיקון.

אני גאה לבשר לכם על יציאתו לאור של הספר שלי: "ללמוד ג'אווהסקריפט בעברית". הספר מלמד מרמת מתחילים עד רמת מתקדמים מאוד ובעברית! כ-2000 איש שותפים לפרויקט שגייס כ-300,000 ש"ח ובתמיכת הקריה האקדמית אונו והחברות וויקס, אאוטבריין, אלמנטור, Chegg, איירון סורס, Really Good ו-Honey Book. עדיין אפשר להצטרף לפרויקט! ליחצו כאן למידע על הספר וגם לפרקים בחינם

אהבתם? לא אהבתם? דרגו!



אל תשארו מאחור! יש עוד מה ללמוד!

2 comments on “גרסאות של ספריות מיושנות עלולות לסכן את המשתמשים שלכם
  1. חתול הגיב:

    מי שאמור לעדכן ספריות אלה וורדפרס אבל מסיבות של תאימות לאחור הם בחרו שלא לעדכן את jQuery.
    https://core.trac.wordpress.org/ticket/37110

  2. אשר יגורתי הגיב:

    תודה רבה רבה על הטיפ הנחמד והמועיל הנל
    שאלה נוספת:
    במאמרך רשמת “הורדתי תוסף שפשוט משדרג בכוח את גרסת ה-jQuery לגרסה האחרונה. ”
    האם תוכל לספק לינק לתוסף הכוחני שהורדת, אני מאוד אודה לך

כתיבת תגובה

האימייל לא יוצג באתר.