Часто нужно бывает устанавливать на сайт jquery плагины но как проверить их на уязвимость? Существуют ли проверенные утилиты для проверки плагинов?
Интересный совет... Вы что, всё на чистом JS пишите? От кражи куки лучше защититься привязкой сессии к IP или чем-либо в этом роде, чтоб просто бесполезно было воровать. А так - анализ исходного кода. Для того, чтобы украсть куку из JS, нужно её на левый адрес отправлять.
секурность сессионной куки можно повысить через опцию httponly чтобы краденое не работало, используют nonce
Что мешает злоумышленнику, перехватив nonce от сервера и кодированный пароль от клиента раскодировать эту строку и узнать пароль? Ведь JS - отрытый код, следовательно можно узнать алгоритм шифрования, а зная такой алгоритм можно построить обратный.
С куками все ясно. Что если это вредоносный код который подгружается из стороннего сайта? Исследовать исходный код каждого плагина занимает много времени. Неужели нет утилиты?
Не используйте чужой код. Пишите сами. И ни в коем случае не пользуйтесь библиотекой jquery!!! И будем Вам счастье =)
???, слайдеры - руками, табы - руками, диалоги - руками, AJAX - руками. Тяжко, однако. $.get или $.put вызвать гораздо проще, чем получать XMLHttpRequest 3-мя способами )) pircut, известные javascript-библиотеки скорее всего не содержат вредоносного кода, поэтому не заморачивайтесь.
еще проще пойти соснуть другому, чтоб тот все сделал. Со временем у разработчика появляются собственные библиотеки с реально нужным функционалом, а не этим хламом говна как jquery и ей подобные =)
Таких разработчиков с "собственными реальными библиотеками" надо клеймить, что бы нормальные люди после них хм... код не разгребали.
Своих плагинов врядли нужно бояться. Бойся пользовательского контента — он не должен выводиться без должной обработки.