Τι πρέπει να γνωρίζετε για τα third-party scripts?

Η κατασκευή μιας ιστοσελίδας πέραν των τεχνικών γνώσεων και του οικονομικού budget, απαιτεί κατά βάση χρόνο από όσους συμμετέχουν στην διαδικασία μελέτης και κατασκευής. Σε έναν αχανή τομέα όπως αυτόν της κατασκευής διαδικτυακών εφαρμογών ο χρόνος που μπορεί να απαιτηθεί σε οποιαδήποτε στάδιο μπορεί να είναι τόσο μεγάλος που ενδέχεται να εκτροχιάσει το project ίσως ακόμη και από τη φάση της μελέτης των τεχνικών προδιαγραφών, αρκετά πριν ξεκινήσει η τεχνική υλοποίηση.

Ακόμη μεγαλύτεροι είναι οι κίνδυνοι χρονικού και οικονομικού εκτροχιασμού ενός project στην φάση της τεχνικής υλοποίησης 

καθότι η ανάπτυξη συμπαγούς, λειτουργικού, ασφαλούς και εύχρηστου κώδικα μπορεί να αποδειχθεί μια πολύ επίπονη και μακρόχρονη διαδικασία.

Σε κανέναν δεν αρέσει να δαπανά χρόνο για τεχνικά ζητήματα που έχουν λύσει άλλοι στο παρελθόν, πολύ περισσότερο στους προγραμματιστές διαδικτυακών εφαρμογών, οι οποίοι έχουν πολύ περιορισμένο χρόνο και πολλά tasks προς υλοποίηση. Δεν είναι άλλωστε και λίγες οι περιπτώσεις που δεν υπάρχει καν προγραμματιστής στην δημιουργία ενός ιστοτόπου, καθότι οι διαδικασίες κατασκευής μιας ιστοσελίδας έχουν απλοποιηθεί τόσο πολύ που και με την χρήση έτοιμων scripts μπορεί κανείς να κάνει την ιστοσελίδα του μόνος του.

Επαγγελματίες λοιπόν και μη, τείνουν να υιοθετούν έτοιμες λύσεις χρησιμοποιώντας βιβλιοθήκες scripts που έχουν αναπτυχθεί από τρίτους κατασκευαστές, είτε εξολοκλήρου είτε μερικώς και οι οποίες παρέχουν τις επιθυμητές λειτουργίες. Έρευνες έχουν δείξει ότι το 50% των ιστοσελίδων χρησιμοποιούν/καλούν scripts τρίτων κατασκευαστών για λόγους διαφήμισης, μετρήσεων και για την προσθήκη λειτουργικότητας. Για παράδειγμα, το 40% των 500 μεγαλύτερων ιστοσελίδων του διαδικτύου χρησιμοποιεί το Google Analytics για να καταγράφει στατιστικά επισκεψιμότητας.

Η ενσωμάτωση script τρίτων κατασκευαστών μπορεί να επισπεύσει την κατασκευή ιστοσελίδων, αλλά πόσο ασφαλείς είναι τελικά οι σελίδες αυτές για τους χρήστες που τις επισκέπτονται; Τι κίνδυνοι μπορεί να προκύψουν και πως μπορούν να αποφευχθούν;

Κίνδυνοι για τους επισκέπτες των ιστοσελίδων

Η χρήση scripts τρίτων κατασκευαστών σε μια ιστοσελίδα δημιουργεί ανησυχίες σχετικά με την ασφάλεια των επισκεπτών της, καθώς τα scripts αυτά είναι δυνατόν να έχουν πρόσβαση σε δεδομένα που αφορούν τους επισκέπτες. Ένα τέτοιο script μπορεί να καταγράψει και να στείλει πληροφορίες για έναν χρήστη, εν αγνοία τόσο του ίδιου, όσο και του κατασκευαστή της σελίδας.

Αυτές οι πληροφορίες μπορεί να αφορούν:

• την συμπεριφορά του επισκέπτη μέσα στην ιστοσελίδα,
• τις προτιμήσεις του,
• το ιστορικό περιήγησης και αγορών του,
• την τοποθεσία του,
• την διεύθυνση IP του,

αλλά και προσωπικά δεδομένα όπως:

• το ονοματεπώνυμο του,
• τον αριθμό τηλεφώνου του,
• την διεύθυνση του,
• το email του
• και τον αριθμό της πιστωτικής κάρτας  του.

Κίνδυνοι για τις ίδιες τις ιστοσελίδες από τη χρήση scripts τρίτων κατασκευαστών

Κίνδυνοι μπορεί να συντρέχουν και για την ίδια την ιστοσελίδα η οποία φιλοξενεί, χρησιμοποιεί ή καλεί scripts από τρίτους κατασκευαστές. Ο πιο σημαντικός από αυτούς είναι η συμπερίληψη και εκτέλεση κώδικα από κάποιον κακόβουλο χρήστη, ο οποίος μπορεί να αλλάξει τη λειτουργικότητα μιας ιστοσελίδας ή να υποκλέψει στοιχεία χρηστών. Αν ένας κακόβουλος χρήστης εντοπίσει μια ευπάθεια σε ένα script, ο κίνδυνος δεν περιορίζεται μόνο σε μία σελίδα ή ένα site, αλλά αφορά οποιαδήποτε ιστοσελίδα χρησιμοποιεί αυτό το script.

Ο κώδικας ενός τέτοιου script μπορεί επίσης να αλλάξει χωρίς προειδοποίηση προς τον δημιουργό της ιστοσελίδας που το καλεί, με αποτέλεσμα να αλλάξει η λειτουργικότητα της ή να εμφανιστούν σφάλματα σε αυτήν. Επίσης, ένα script τρίτου είναι πιθανόν να καλεί και αυτό με την σειρά του άλλα scripts από άγνωστες πηγές, κάτι το οποίο εκτός από ζητήματα ασφάλειας, μπορεί να δημιουργήσει και προβλήματα στην απόδοση μιας ιστοσελίδας, όπως αργούς χρόνους φόρτωσης και ανταπόκρισης.

Πολύ συχνά τα scripts παρακολούθησης συμπεριφοράς επηρεάζουν την εμφάνιση και την διάταξη μιας ιστοσελίδας, με συνέπεια να δημιουργούνται προβλήματα στην πλοήγηση των χρηστών και στην εμφάνιση άλλων στοιχείων μέσα στην ιστοσελίδα. Τέλος αν ο διακομιστής που φιλοξενεί το script τρίτου κατασκευαστή δεν είναι προσβάσιμος, για λόγους αναβάθμισης, προβλημάτων συστήματος ή απλά έχει κλείσει, τότε η ιστοσελίδα που το χρησιμοποιεί θα έχει προβλήματα με την λειτουργικότητα της.

Ιδιαίτερη προσοχή θα πρέπει να δίνει κανείς στη χρήση εφαρμογών ανοιχτού κώδικα (open source), καθότι ο κώδικας τους είναι γνωστός στους hackers που καραδοκούν για το παραμικρό κενό ασφαλείας. Αυτές οι εφαρμογές θα πρέπει να αναβαθμίζονται συνεχώς για να έχουν κατά το δυνατό ασφάλεια και μακροζωία. Το πρόβλημα με τις εφαρμογές ανοιχτού κώδικα πολλαπλασιάζεται λόγω της πολύ μεγάλης διαθεσιμότητας συμπληρωματικών scripts (add-ons, plugins, extensions, modules, components κ.ά.), ειδικά κατασκευασμένων για την καθεμία από αυτές τις εφαρμογές. Αυτά τα συμπληρωματικά scripts θα πρέπει να ελέγχονται διεξοδικά πριν τη χρήση τους καθότι τις περισσότερες φορές δεν προέρχονται από εγκεκριμένους κατασκευαστές αλλά από οποιονδήποτε έχει την τεχνική δυνατότητα να κατασκευάσει συμβατό με την εκάστοτε εφαρμογή λογισμικό.

Πως μπορούν να αντιμετωπιστούν αυτοί οι κίνδυνοι?

Οι κατασκευαστές ιστοσελίδων επαγγελματίες ή μη, θα πρέπει να είναι προσεκτικοί στην επιλογή τέτοιων scripts και να έχουν στο μυαλό τους πως η χρήση τους μπορεί να επιφέρει ευπάθειες. Είναι καλό να ελέγχουν ότι τα scripts που χρησιμοποιούν προέρχονται από έμπιστες πηγές που θεωρούν την ασφάλεια σημαντικό ζήτημα και τα διατηρούν ενημερωμένα, παρέχοντας γρήγορες διορθώσεις σε σφάλματα που πιθανόν να προκύψουν.

Τα scripts τρίτων μπορούν γρήγορα και εύκολα να δώσουν επιπρόσθετη λειτουργικότητα σε μια ιστοσελίδα, αλλά ταυτόχρονα είναι πηγές κινδύνου για την ασφάλεια, την ιδιωτικότητα και την απόδοσή της, επομένως η χρήση τους θα πρέπει να γίνεται με κάθε επιφύλαξη και κάθε δυνατό μέτρο, ώστε να αποφευχθούν πιθανά προβλήματα.