Construimos sitios que tienen un área pública (no segura) y un área segura (entregada a través de HTTPS) y utilizamos la biblioteca jQuery.¿Cuán seguros son los CDN para entregar jQuery?
Recientemente sugerí que usemos Google CDN para la entrega de jQuery. Algunos de mis colegas expresaron preocupaciones con respecto al aspecto de seguridad de esta forma de entregar bibliotecas de JavaScript.
Por ejemplo, mencionan el escenario donde alguien podría secuestrar el servidor DNS y luego inyectar una biblioteca modificada maliciosamente, abriendo la puerta a diferentes ataques de seguridad. Ahora, si el pirata informático puede inyectar código malicioso a través de Google CDN, entonces probablemente pueda hacer lo mismo si jQuery se sirve desde el sitio en sí, ¿no?
Parece que google CDN admite el servicio de bibliotecas a través de SSL.
Está sirviendo jQuery de CDN realmente menos seguro que sirviéndolo desde el servidor mismo? ¿Qué tan seria es esta amenaza?
También hay un problema de privacidad, ya que Google podría saber qué usuarios van a su sitio. –
@Gert - Podrían * saber *, cuantos más sitios visite su usuario que también extraigan el mismo archivo del CDN, es menos probable que accedan a Google a través de su sitio. –
@Nick: siempre que el usuario no actualice la página (por ejemplo, mediante el botón Actualizar, CTRL-R o CTRL-F5). –