Mener utviklere er for ukritiske til andres kode: – Jeg er litt frustrert

– All bruk av ekstern kode utgjør en sikkerhetsrisiko, sier Espen Antonsen, som mener nettsider bør fungere helt uten JavaScript.

Mange er for lite kritiske til hva slags JavaScript-kode de importerer fra tredjepart i prosjektene sine, mener utvikler Espen Antonsen. 📸: Juanjo Jaramillo / Unsplash / privat
Mange er for lite kritiske til hva slags JavaScript-kode de importerer fra tredjepart i prosjektene sine, mener utvikler Espen Antonsen. 📸: Juanjo Jaramillo / Unsplash / privat Vis mer

Etter at vi skrev om at de danske og norske datatilsynene mente at bedrifter for å være i tråd med GDPRrisikovurdere selve programmeringsspråket JavaScript, har det kokt i sosiale medier og i kommentarfeltene.

Teknologiadvokat Jan Sandtrø, som uttalte seg i den første artikkelen vår, stilte seg undrende til at man måtte risikovurdere JavaScript. I et innlegg på LinkedIn skriver han:

"Dersom man skal risikovurdere JavaScript, bør man da også risikovurdere det at en løsning er digital og er tilgjengelig over internett, som er en ikke-uvesentlig risiko i seg selv?"

Og Johannes Brodwall, utvikler i Sopra Steria, sa til kode24 at:

– Å bruke mye innsats på å vurdere et stabilt og omfattende brukt programmeringsspråk som JavaScript virker tøysete.

Espen Antonsen er utvikler og grunnlegger av selskapet makePlans, og mener det er en selvfølge at man må risikovurdere JavaScript – men peker ikke på selve programmeringsspråket.

Det store problemet er at utviklere ukritisk bruker JavaScript-kode fra tredjepart, mener han.

– Selv banale kodesnutter på fire linjer hentes inn som en ekstern JavaScript-pakke via npm. All bruk av ekstern kode, enten ved henvisning eller pakke utgjør en sikkerhetsrisiko, skriver Antonsen på LinkedIn.

"Jeg er frustrert"

Overfor kode24 utdyper Antonsen:

– Jeg er litt frustrert over at mange utviklere ikke ser problemet med å bruke så mye fra tredjepart uten vurdering, samt at det å inkludere fra ekstern server direkte også er et sikkerhetsproblem.

Han viser til at det har vært flere eksempler på at populære npm-pakker har inneholdt ondsinnet kode.

Antonsen er også litt oppgitt over at diskusjonen har dreid seg om hvorvidt JavaScript er sikkert eller ikke.

– Når det gjelder klagen til det danske Datatilsynet i saken om selve JavaScript, så må man være ganske old-school HTML-ekstremist for å mene at JavaScript er et sikkerhetsproblem i seg selv. Det er et blindspor.

Med Content Security Policy, integrity-includes og manuelle risikovurderinger så kan man ivareta sikkerhet ved kjøring av JavaScript fra tredjepart, sier Antonsen – som mener det er det diskusjonen burde handle om.

«Man må være ganske old-school HTML-ekstremist for å mene at JavaScript er et sikkerhetsproblem i seg selv. Det er et blindspor.»

Bør fungere uten JavaScript

Antonsen mener at datatilsynene likevel er inne på noe han mener er viktig: Alle nettsider bør fungere også uten JavaScript.

– Jeg mener at alle nettsider bør fungere i en basic utgave uten JavaScript med mindre det er en spesiell grunn. Autentisering som håndterer kryptografi og nøkler vil være én god grunn, skriver Antonsen.

– Det er i de fleste tilfeller bare udugelighet, feil teknologivalg og manglende forståelse av HTML/HTTP som gjør at JavaScript blir et krav, selv i web-applikasjoner.

Her kan du lese mer om hvordan du kan lage nettsider som bruker det aller nyeste av teknologi, men som også fungerer uten JavaScript: