JavaScript

Se você entrar em qualquer site agora, as chances de que o seu navegar irá executar uma biblioteca JavaScript são muito altas. Quase 100% de certeza. Essas bibliotecas são usadas para o desenvolvimento de inúmeras aplicações compatíveis com a grande maioria dos browsers.

O Javascript se popularizou com o começo das páginas web com recursos mais avançados e gráficos, algo que não era possível alcançar com o HTML antigo.

Infelizmente muitas dessas bibliotecas ficaram desatualizadas e passaram a ter falhas. Essas falhas ainda estão presentes nos sites nos dias de hoje e isso representa um grande risco para a segurança dos usuários.

Para analisar o tamanho dos riscos que estamos enfrentando na internet, pesquisadores da Northeastern University, em Boston, analisaram 133 mil sites e descobriram que 37% deles possuem ao menos uma biblioteca desatualizada com brechas de segurança.

Em 9,7% desses domínios, haviam duas ou mais bibliotecas vulneráveis. Apesar de ainda não ser um resultado ideal, já houve uma melhora desde o último estudo que mostrou que 60% dos sites possuíam essas conhecidas falhas.

Outro dado preocupante é que dentre os 75 mil sites mais populares do mundo (segundo o ranking do Alexa) 84,5% usam a biblioteca jQuery. Desses sites, quase 37% utilizam uma versão desatualizada e vulnerável da biblioteca.

A situação piora ainda mais quando começa a pesquisar sobre outras bibliotecas. 40,1% dos sites com Angular, 86,6% com Handlebars e 87,3% com YUI (biblioteca desenvolvida pelo Yahoo), usam versões que possuem falhas conhecidas de segurança.

O maior risco oferecido por essas bibliotecas desatualizadas está em ataques de cross-site scripting, popularmente conhecidos como XSS. Esses ataques são caracterizados pela injeção de códigos maliciosos por usuários mal-intencionados para forjar requisições e fixações de sessão.

Esse é um problema causado pela falta de manutenção nos sites (o que também é um descuido do desenvolvedor da biblioteca, que não a atualiza de forma constante).

Infelizmente não há muito o que nós usuários fazermos. É importante cobrar as atualizações de bibliotecas por parte das empresas e um melhor desenvolvimento de site por parte dos desenvolvedores.

O JavaScript já está perdendo popularidade para o HTML5, tanto que empresas como o Google já bloqueiam o JS em serviços de e-mail e outras funções que apresentam risco para usuário e para a sua intimidade.

E lembrem-se, sempre navegue com segurança.