Progressive Web Apps (PWA's) hebben een revolutie teweeggebracht in de manier waarop we applicaties bouwen en leveren. Het is geen wonder dat ze aan populariteit hebben gewonnen. Ze vereenvoudigen de ontwikkeling door de flexibiliteit van het web te combineren met de mogelijkheden van mobiel. Functies zoals offline toegang, pushmeldingen en hardware-integratie... allemaal verpakt in het gemak van een browser. Met updates zoals die in iOS 16.4 in 2023 is het inbedden van browsermogelijkheden in apps eenvoudiger dan ooit, wat de nieuwe golf van PWA-adoptie aandrijft.
Maar er is ook een keerzijde. Met hun opkomst komt een toename van client-side beveiligingsrisico's. En de sector? Die heeft het er nauwelijks over.
PWA's zijn browsers
In de kern zijn PWA's browsers. Ze transformeren elke app in een micro-webomgeving. Dat is hun kracht—ze laden direct, hergebruiken websitecode en maken naadloos verbinding met webservices. Toch stelt deze architectuur hen ook bloot aan de kwetsbaarheden van het web, vooral client-side risico's die verband houden met 3rd-party scripts.
Moderne websites zijn afhankelijk van deze scripts voor alles, van analytics tot engagement-tools. Hoewel handig, vergroten ze uw aanvalsoppervlak enorm. In een PWA draaien diezelfde scripts direct in de app, waardoor risico's zoals datalekken, kwaadaardige injecties en meer worden versterkt.
Uw risico is niet langer beperkt tot websitebezoekers; het strekt zich uit tot elke app-gebruiker.
Houd de web supply chain in gedachten
De client-side is de laatste halte in de keten. Het is waar uw code, zowel 1st als 3rd-party, wordt geladen in de browser of PWA van de gebruiker.
3rd-party scripts afkomstig van externe leveranciers zijn essentieel, maar vallen vaak buiten uw controle, waardoor ze een belangrijk doelwit zijn voor aanvallers. Van gecompromitteerde analytics-scripts die gebruikersgegevens lekken tot kwaadaardige code geïnjecteerd in chatbots, de client-side staat onder constante dreiging.
Het bouwen van een PWA versterkt deze risico's alleen maar door ze in uw app te brengen.
PWA's zijn niet slecht
Met dit alles gezegd, pleiten we niet tegen het gebruik van PWA's. Afhankelijk van uw behoeften zijn ze waarschijnlijk de slimste keuze. Negeer alleen niet de beveiligingsuitdagingen die ze met zich meebrengen. Helaas worden client-side kwetsbaarheden, vooral van 3rd-party scripts, vaak genegeerd.
We hebben cside gebouwd, een monitoring- en beveiligingstool voor 3rd-party scripts. Dit lost al deze problemen op in zowel web- als PWA-omgevingen. Installeer het nu, of praat met ons - we helpen u graag op weg.
