因使用过时 jQuery 版本,7.5 亿个网站存在隐私和安全风险


OpenJS 基金会公布了一项基于 IDC 调查的最终用户审计结果显示,十亿个网站中有四分之三的网站正在使用过时的软件,并且其中大多数网站都会收集个人和财务信息。超过三分之一的受访者证实,在过去 24 个月中曾经历过安全事件。

OpenJS 基金会分析了本次最终用户审计的 IDC 调查结果和其他数据点,估计全球 19 亿个网站中有近 90% 使用开源软件 jQuery,其中 7.5 亿个站点需要升级。鉴于问题的严重性,OpenJS 基金会建议在 Web 安全性方面进行行为改变。

“jQuery 使网页开发变得简单易用,但也导致数亿个网站仍然使用旧的、不受支持的版本。即使 jQuery 团队发布安全修复,这些网站通常也不会进行更新,从而导致容易受到攻击。”

主要发现包括:

  • 89%的随机调查受访者报告称,他们知道自己的互联网面向的网站上使用了 jQuery。
  • 其中 80% 的组织会捕获个人身份信息 (PII) 等重要信息,包括付款信息 (52%)、位置 (64%)、联系信息 (80%)。
  • 85%的受访者认为,网站是必不可少或极其重要的。
  • 安全事件造成的业务损失严重,28%的受访者表示有客户流失,29%的受访者表示造成了收入损失。此外还有 39% 的受访者报告了违规行为,45% 的受访者报告了品牌受损。
  • 48% 的受访者表示,提升安全性是升级的首要动机。

IDC 软件开发和开源 IDC 集团副总裁 Al Gillen 称:“这项研究给我们带来的启示很简单:jQuery 用户可以使用一项强大的、由社区支持的技术,他们无需支付订阅费用即可获得或使用这项技术,而且这个项目还在不断得到投资和改进。用户已经从这项技术中享受到了可观的收益,但如果你还没有使用最新版本,那么为了你的业务,你有义务升级到一个受支持版本,以实现收益最大化和潜在风险最小化。”

OpenJS 基金会执行董事 Robin Bender Ginn 则表示,“当十亿个网站中有四分之三仅仅因为一个开源项目而需要升级时,问题就大了。这让我们相信,公司正在使用更过时和不受支持的技术,有可能将消费者置于风险之中。要解决如此大规模的问题,我们需要开始考虑定期评估网站技术,就像人们每年都去医生那里做体检一样。”

为此,OpenJS 基金会正在开发一款免费的 Healthy Web 检查工具,以广泛提供给世界各地的企业和组织。该检查工具只需耗时 5 秒,但目前仅可用于检查 jQuery 的版本,OpenJS 基金会计划接下来将其扩展到更多网络健康相关的开源 JavaScript 项目。

jQuery 核心团队成员兼高级软件工程师 Michał Gołębiowski-Owczarek 也呼吁称,改善网站健康状况的第一步是确定该的技术堆栈是否需要升级。在团队不断地改进 jQuery 的安全性和性能的同时,也建议大家使用 Healthy Web checkup 工具或自己的评估工具来检查网站上使用的软件版本。

OpenJS Healthy Web 检查工具目前处于 beta 阶段,仅限技术评估人员和 OpenJS 成员使用,计划于 2024 年初全面推出。


相關推薦

2021-12-24

数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。 对此,360CERT建议广大用户及时将Apache HTTP Server升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击

2024-07-12

让公众了解潜在风险,而不是将数据集提供给威胁行为者使用。因此,我们无法证实或否认您提到的其他黑客 / 研究人员的说法。 下载地址:s3.timeweb.cloud 参考链接: https://infotechlead.com/security/rockyou2024-10-billion-passwords-leak

2023-03-22

件(brand-jacking),暗示为 trustworthy authors(品牌劫持)或使用不同语言或生态系统中的通用命名模式(combo-squatting)。 Security OSS-RISK-4 未维护的软件 组件或组件版本可能不再积极开发,因此,原始开源项目可能不会及时

2023-08-19

户仅在 HTTPS 版本不可用时访问 HTTP 域,并免受其他可能过时或不安全的 HTTP 链接的影响。 此外,HTTPS-first 与 HTTPS-Only 略有不同。对于后者,当浏览器尝试访问启用 HTTPS 的网站时,它仍然可能向服务器发送 HTTP 请求,这显然是

2024-08-07

进得益于 jQuery UI 测试基础架构的重大重写,删除了所有过时或不支持的依赖项。 维护状态提醒 官方提醒 jQuery UI 目前处于维护状态:项目团队将确保库与新的 jQuery 版本兼容,并修复安全问题,但没有计划开发新的重要功能

2022-04-25

科和高通这两大移动芯片制造商都在旗下的音频解码器中使用了相关代码。 根据市场研究机构在 2021 年 Q4 的调查,联发科和高通是目前市场占有率排名第一和第二的两家移动芯片制造商,两者的市场份额相加已超过 60%。正因

2023-03-12

器依然扮演着非常重要的角色,是很多用户工作和生活中使用最为频繁的工具,也是很多 Web 应用与服务的入口。 浏览器安全平台 LayerX 日前发表了年度浏览器安全报告,让大家可以一窥浏览器以及互联网的安全状况,让用户

2022-03-25

值观: Web 应当具有开放性:每个人都可以访问网络,并使用它来接触其他人。 Web 仅作为一个代理机构:每个人接触网络时,都有权按照自己想要的方式有效地实现目标。 Web 应当保持安全:使用网络的体验,不能使个人处于

2021-11-12

Skolplattform 的开源版本并发布,供斯德哥尔摩各校的家长使用。在 Landgren 重新构建的 API 之上,三人使用 Chrom 开发人员工具,登陆 Skolplattform 并记下了所有 URL 和有效负载。他们还获取了调用平台私有 API 的代码并构建成包,以

2022-11-16

歌在公告中的用词相当委屈: 我们根据多年前更改的过时产品政策与 40 位美国州检察长达成了一项调查。除了财务结算,我们还将在未来几个月进行更新,以提供对位置数据的更大控制和透明度。 2022 年 Q3 财报 显

2024-03-13

的修订往往滞后于新技术的应用。目前,人工智能技术还存在因数据和算法失误生成虚假内容的可能,并在一定程度上造成用户歧视。一旦大模型生成不准确的金融风控报告,将很难分清是科技公司提供的技术不可靠,还是金融

2023-07-24

管理以及隐私。  零信任边缘(ZTE) 该解决方案使用零信任访问原则在远程站点内外安全地连接和传输数字信息,主要使用基于云的安全和网络服务。 报告将这十大技术划分成了短期受益期限(两年以内)、中期受

2022-12-24

展中主动阻止网站上的 Google 登录提示弹框,理由是用户使用 Google 账号一键登录的网站和应用程序可能会被谷歌跟踪。 尽管谷歌明确声明 “来自 Sign In With Google 的数据不会用于广告或其他非安全目的。” 但 DuckDuckGo 表示他

2023-06-09

BitTorrent 的泄露事件后,LLaMA 的公开传播代表了可供公众使用的 AI 模型的复杂性显着增加,并引发了关于误用或滥用可能性的严重问题。“即使是生成式 AI 工具在面向公众开放的短时间里,都经历了危险地滥用 —— 开源模型