このページの本文へ

放置されがちなJavaScriptライブラリーをどうやって最新に保つのか?

2017年05月17日 19時01分更新

記事提供:WPJ

  • この記事をはてなブックマークに追加
本文印刷

古いjQueryを使い続けていませんか?忘れられがちなJavaScriptライブラリーを最新に保ち、セキュリティを高める方法を考えます。

最近、セキュリティ研究者の調査によって、13万3000のWebサイトが最新でないJavaScriptライブラリーを使用していること分かりました。調査結果は『Thou Shalt Not Depend on Me: Analysing the Use of Outdated JavaScript Libraries on the Web(Webサイトにおける最新でないJavaScriptの使用率に関する分析)』として、報告書にまとめられPDFで公開されています。決して楽しい読み物ではありません。対象のWebサイトのうちの37%が、直接的もしくは広告主のようなサードパーティサービスを通じて、安全ではないJavaScriptを読み込んでいました。

これを知って、私は目が覚めました。研究者が対象にしていたライブラリーは、もっとも人気のある72のオープンソースプロジェクトでした。日常的に使っているAngularやjQueryのようなライブラリーです。jQueryの古いバージョンが、深刻なセキュリティの脅威を含む可能性があるなんて、考えたこともありませんでした。また、昔作ったWebサイトの古いjQueryを更新したこともほとんどありません。もっとちゃんとしておくべきでした。

自分でハッキングしてみる

調査結果に興味がわいたので、古いページのjQueryを使って自分のページをハックできないか実験してみることにしました。「jQueryのセキュリティ上の脆弱性」と検索して、すぐにjQueryのGitHubリポジトリに書かれているイシューを見つけました。イシューには、潜在的なクロスサイトスクリプティングの脆弱性があると指摘していました。攻撃者がリクエスト元で任意のコードを実行できる、ということです。このときは、良さそうなものを見つけたと思っていたのですが…。

この記事をWPJのサイトで読む

Web Professionalトップへ

Web Professionalトップページバナー

WebProfessional 新着記事

ASCII.jp会員サービス 週刊Web Professional登録

Webディレクター江口明日香が行く