Рубрики
Без рубрики

Почему мы должны убедить наших пользователей обновлять свои браузеры – это беспроигрышная.

Если вы недавно живете в скале, вы знаете о расплаве и призраке – два из наиболее широко развернутых уязвимостей безопасности в компьютерной истории. Вы также можете знать, что это не просто ограничено приложениями уровня ОС, а также в Интернете, так как он так же плохо

Автор оригинала: FreeCodeCamp Community Member.

Если вы не живете под скалой недавно, вы знаете о Расплавление и Призрак – Два из наиболее широко развернутых уязвимостей безопасности в компьютерной истории. Вы также можете знать, что это не просто ограничено приложениями уровня ОС, а в Интернете, это так же плохо, как он получает:

  • Firefox 57.0.4 ( выпущен 4 января ) Исправлено это.
  • Microsoft выпущен и обновлять для IE и край 5 января.
  • Сафари выпущен 11.0.2 8 января, что предположительно защищает пользователей против этих вопросов.
  • Хром пользователи должны ждать до V64 (выпущены около 23 января); Но здесь это список того, что Вы можете сделать сейчас Ограничить степень ущерба ваших пользователей.

Обновление: 2018-01-31: До сих пор исследователи безопасности выявили не менее 130 военнопленок на основе этих проблем: http://www.securityweek.com/malware-exploing-spectre-meltdown-flaws-emerges

Быстрые ноты

  1. Не все эти обновления исправляют все уязвимости безопасности, но они являются первой точкой действия.
  2. Обновление браузера – это просто первый шаг. Вам необходимо обновить операционную систему Mobile/Desktop, чтобы защитить себя от другой, но более широкой поверхности атаки: автоматическое обновление приложений. Пожалуйста, читать дальше здесь Отказ
  3. Как мы понимаем объем этих уязвимостей лучше, придет больше патчей. Эта история далека от.

Теперь большой вопрос для нас разработчиков веб-разработчиков: будь мы поддерживать уязвимые пользователи с более старыми браузерами, которые являются уязвимыми или требуем, чтобы у пользователя были последние браузеры?

Я работаю в команде личности международной компании с миллионами пользователей. Никакое количество работы, которое я не делаю для обеспечения наших услуг, может помешать пользователю обмениваться данными на нашем сайте с вредоносным или зараженным сайтом, открытым на другой вкладке.

Это может быть единственным наиболее важным побочным эффектом этих уязвимостей безопасности: у нас может иметь совершенно действительную причину, чтобы разбить сеть для людей со старыми браузерами.

История вспомогательного развития может вспомнить эту точку зрения, как когда мы перешли из «эпохи развития Hippie» (я поддерживаю все версии браузера) к «ERA Revelopment Hipster» (я поддерживаю только последние версии браузера). ?

Это Огромный сдвиг В мышлении, специально для нас веб-разработчиков, поскольку мы традиционно делаем все возможное, чтобы вовлечь все: отзывчивый дизайн, прогрессивное улучшение и изящное деградация.

На этот раз это другое. В эпоху пост-снега нам нужно серьезно относиться к безопасности. Поддержка уязвимых версий браузера равна продвижению опасной онлайн-жизни. Это наша работа как эксперты для обучения пользователей и защищать их против плохих парней. Если сайты не поддерживают старые браузеры, пользователи надо Обновить.

Это беспроигрышная ситуация:

  • Разработчики избавляются от поддержки Legacy Browser для хорошего
  • Пользователи получают вынужденные принять важное решение безопасности (надеюсь, для хорошего).

Если мы не будем быстро реагировать, эксплойты этих вопросов будут развернутыми масштабно, и эффект находится за пределами нашего контроля. Джин выходит из бутылки.

Это VW-скандал процессоров

В 2015 году Volkswagen был пойман из обмана на выбросы их дизельных двигателей. Они изменяли, чтобы свои машины более привлекательными для покупателей. В этом, производители процессоров «Упустившие» некоторые проблемы безопасности в своих процессорах, поэтому у них будет более высокие показатели производительности.

Я работаю в международной компании, здании Страницы входа в систему Отказ Миллионы пользователей используют наш логин для доступа к услугам широкого спектра компаний. Естественно, моя команда очень обеспокоена безопасностью. Мы делаем все возможное, чтобы сохранить систему максимально безопасной, но никакие усилия не могут смягчить этот вид уязвимости в браузерах. Например:

  • Httponly Cookies больше не недоступны от JavaScript.
  • Сеанс Cookie является супер легким для других сайтов для кражи (сеансовое поддона).
  • Chrome Extensions, которые сохраняют пароли, теперь потенциально протекают.
  • Очень HTML, содержащий PT> Тег уязвима, поэтому XSS - это ветер.

Вот упражнение: посмотрите, сколько Уязвимости OwASP топ-10 сейчас невозможно исправить В версиях до 2018 года любого крупного браузера.

Действительно ли мы хотим обслуживать пользователям, у которых нет недавнего браузера с риском о том, что данные пользователя или наш бизнес будут скомпрометированы? Или мы (как профессионалы и эксперты) взять стенд и обучить пользователям об опасностях и направлять их, чтобы смягчить риск?

Нам нужно бросить поддержку уязвимых браузеров. Это, вероятно, станет станет большим сопротивлением на рынке, который традиционно был очень гибким и прощающим к стеку пользователя (до тех пор, пока они используют наши услуги, мы хороши). Но кто-то должен начать изменение.

Серебряная подкладка

В каждом кризисе есть возможность. Я утверждаю, что это самая крутая вещь, которая произошла с сообществом веб-разработки с ES2015. Мы все знаем боль и стоимость поддерживающих старых браузеров (особенно браузеров, которые не являются Evergreen ):

  • Мы должны подумать код для прокладки, которые уже имеют современные браузеры
  • Отладка старого браузера, используя свои инструменты отладки в старой школе, недалеко от опыта вождения автомобиля от Scrapeard после вождения современного автомобиля
  • Мы не можем полагаться на целостность браузера ( IE, я смотрю на вас ), поэтому мы не можем служить некоторой конфиденциальной информации на всех браузерах.
  • Мы должны иметь дело с различными проблемами рендеринга CSS/SVG
  • Мы должны проверить краевые чехлы для разных браузеров только потому, что мы поддерживаем их! Есть целые бизнес Разработано Вокруг идеи автоматизации этой утомительной задачи с различными соотношениями успеха/усилий.
  • Система модуля теперь поддерживается всеми основными браузерами. Огненая поддержка уязвимых браузеров имеет боковую выгоду от упрощения и модернизации наших каналов развертывания. Вам не может вообще не нужно транситировать свой код!

Что это на самом деле значит?

Это означает, что вы можете полностью полагаться, что Async/await доступен В вашем браузере клиента и вам не нужно транпилировать. Это означает, что вы можете предположить Класс это Поддерживается и генераторы полезны для использования Налог бесплатно ! Это значит Шаблонные литералы , Пословные параметры , … без транспиляции, полифилл или любой сложный набор инструментов! Веб-разработка проста вдруг.

Ад это значит У вас есть модули ES6 Сейчас Без свертывания, WebPack, браурисья …

Это означает совершенно новую эру. Я знаю, что это слишком рано, и каждая клетка вашего существования кричит, что ложь, но нет! Это происходит. Если вы хотите поддержать пользователей древних браузеров, сделайте это на свой страх на свой страх. Если вы заботитесь о безопасности своих пользователей и целостности вашего бизнеса, вы получаете все это? Как награда!

Еще одна вещь: http/2 теперь Официально полезно !

Хорошо, это звучит так, как будто я какой-то герой, но большинство этих вещей уже доступны в Большинство браузеров. Просто по какой-то странной причине многие разработчики и менеджеры по продуктам предположили, что 2,7% пользователей (кто использует IE) на самом деле генерирует большинство своих деловых доходов, и они должны пойти на большую длину, чтобы поддержать их. Больше нет. Даже если вы хотите, теперь есть огромная причина не до!

Как?

Это эссе больше о том, почему, а не как, но вот несколько быстрых мыслей:

  • Браузер нюхает Может использоваться для обнаружения, если пользователи выполняют уязвимый браузер. Затем вы можете отказаться от важнейших данных пользователей с браузерами, которые не могут сохранить их в безопасности. Браузер нюхает традиционно не был очень надежен.
  • Показать бару уведомления, чтобы тонко предупредить пользователей; Но кто будет прочитать или реагировать на это? В ЕС мы привыкли игнорировать уведомления Cookie!
  • Напишите тестовый код, который на самом деле пытается атаку. Если он преуспевает, он показывает предупреждение (я уверен, что модуль NPM скоро появится, если он еще не имеет?).

Заключение

Помните, как мы все реагируем, когда rect.js “смешанный шаблон и код” в jsx? Иногда мы должны отрицать «лучшие практики», потому что альтернатива имеет больше смысла. Я не говорю о нарушении сети! Я прошу защищать наших пользователей, прежде чем всему ад перерывается. Пожалуйста, дайте ему мысль.

Обновление 1 (2018-01-16): Безопасность сейчас # 645 входит в подробную информацию о призраке и расплаве и представляет Маленькая удобная утилита (спецчет) тестировать систему уязвимости.

Читать Возможно, вам не нужно транспортировать ваш JavaScript , Когда я должен использовать Tymdercript? или Программирование – лучшая работа в мире Отказ