Why Secrets in JavaScript Bundles are Still Being Missed

**Zusammenfassung:** Das Sicherheitsunternehmen Intruder hat eine Studie durchgeführt, um herauszufinden, warum API-Schlüssel und andere sensible Daten immer noch häufig in JavaScript-Bundles von Webanwendungen preisgegeben werden. Die Forscher entwickelten neue Erkennungsmethoden und scannten damit 5 Millionen Anwendungen, wobei sie zahlreiche exponierte Geheimnisse fanden. Das Problem besteht darin, dass herkömmliche Vulnerability-Scanner diese Art von Sicherheitslücken oft übersehen. Entwickler sollten ihre JavaScript-Bundles regelmäßig auf versehentlich eingebettete API-Schlüssel und Tokens überprüfen und sicherstellen, dass sensible Daten niemals in Client-seitigem Code gespeichert werden.