1. 首页
  2. css

CSS使用第三方脚本需要知道的事情(以及潜在的危险)

网络上充斥着第三方脚本。网站将其用于广告、分析、重定目标等。但这并不总是全部。脚本可以跟踪您的行为、偏好和其他信息。

在这里,我们将研究这些第三方脚本的潜在风险。

第三方脚本可能涉及隐私问题

第三方脚本可以报告您不知道的数据。

来自Google、Facebook、,Wikipedia直接告诉我们,这些脚本可以跟踪行为、访问的网站、购买历史、人口统计、IP地址、位置等等。这一部分是众所周知的。

根据他们的文档,Facebook可以跟踪一些数据。

虽然标准的第三方跟踪通常是有文档记录的,但可能有我们不知道的跟踪。

例如,根据普林斯顿大学和斯坦福大学的研究人员的一项研究,42%的顶级网站(美国Alexa top 50)以纯文本形式呈现唯一标识符。这意味着窃听者可以跟踪你的电子邮件、用户名、全名、家庭住址、购买、位置、历史记录、IP地址和偏好等信息。只需在网上点击一下,你就可以在不知不觉中让别人建立起一个关于你的巨大信息档案。事实上,同样的研究也讨论了国家安全局是如何利用谷歌的一些脚本来追踪人们的。

这里是一个广告商官方实施指南的截图,该指南明确给出了将电子邮件地址作为未加密的纯文本传输给他们的代码。它们在接收到每个地址后都会加密,但仍然以纯文本的形式发送,这样就造成了损害。

实现指南,允许以纯文本形式发送电子邮件。

第三方脚本可能是一个安全问题

当您在页面上包含其他人的外部脚本时,存在固有的安全风险,因为该脚本可以完全访问您网站的前端。

以下是这些脚本所做工作的一些示例。

通过未初始化的数据泄漏信用卡信息

安全研究人员Randy Westergren发现,许多主要的跟踪脚本无法正确清理数据(感谢我的同事萨姆·拉特克里夫让我注意到这篇文章)。这使得攻击者可以注入任何他们想要的代码,包括可以窃取信用卡号码的代码。

以下是恶意代码被注入未初始化的URL的截图:

攻击者可以插入任何代码。

是什么使得上述截图特别棘手漏洞实际上并不是来自脚本本身。相反,它来自另一个第三方脚本对另一个第三方脚本的不安全实现,事实证明,提取敏感信息很容易:

许多广告商已经修复了这个漏洞,但这就留下了一个问题,即还有哪些其他的漏洞仍然存在。

使用非HTTPS脚本公开私有数据

许多野生跟踪脚本使用常规的非安全HTTP。这可以让攻击者获取人们的信息,它还可能导致安全警告,从而吓跑安全页面上的用户。

下面是一个在安全购物车页面上使用HTTP的实现指南的示例。

源代码

代码可以在您不知道的情况下更改

对于第三方脚本,始终存在危险我的同事Brent Kimmel告诉我一种叫做子资源完整性的技术,它本质上让你确保你得到你想要的东西。在撰写本文时,它还没有获得完全的浏览器支持,但请睁大眼睛看它。

还要记住,当原始的第三方脚本没有缺陷时,这种技术最有效。

当您信任的第三方脚本带来了您意想不到的脚本时,第三方脚本通常会加载自己的其他第三方脚本,这将增加到目前为止提到的所有安全和隐私风险的可能性。

下面是一个第三方脚本加载其他脚本的示例:

当脚本将其朋友带来时,它始终是一方。

第三方脚本可能是一种性能问题

页面加载较慢

第三方脚本经常导致页面加载较慢。例如,businessinsider的实际站点加载时间大约为1秒,而第三方脚本

CSS使用第三方脚本需要知道的事情(以及潜在的危险) 为WP2原创文章,链接:https://www.wp2.cn/css/css%e4%bd%bf%e7%94%a8%e7%ac%ac%e4%b8%89%e6%96%b9%e8%84%9a%e6%9c%ac%e9%9c%80%e8%a6%81%e7%9f%a5%e9%81%93%e7%9a%84%e4%ba%8b%e6%83%85%ef%bc%88%e4%bb%a5%e5%8f%8a%e6%bd%9c%e5%9c%a8%e7%9a%84%e5%8d%b1/

发表评论

您的电子邮箱地址不会被公开。