Ajax安全问题不容忽视


XML安全厂商ForumSystems公司上月在安全问题上提出了一个警告,他认为,随着越来越多的Ajax风格的应用出现,很多组织需要考虑潜在的安全缺陷以及性能问题。

位于盐湖城的ForumSystems公司的市场副总裁WalidNegm说:“我们并非在制造警告。我们只是感到需要让人们考虑安全和可扩展性需求。我们始终在关注使用XML的技术。这是我们份内的事。”

Ajax是AsynchronousJavaScriptandXML的缩写。它通过创建富网络应用来加强用户体验。根据Forum的看法,通过使用与Web服务互操作的更具有交互性的页面,Ajax增加了XML、文本和HTML的网络通信量。但这家公司认为由于依赖XML作为请求/相应的内容类型,负载成为了Web服务的弱点。该公司还指出,通过把用户的Web浏览器转换成Web服务门户,Ajax通信模型增加了浏览器处理的可靠性。

Forum公司尝试对XML内容过滤、Web服务安全以及XML提速功能进行改进。

Negm指出了一些潜在的问题。他说,首先是恶意的用户可能会发送脏数据,尤其是创建攻击性的客户端。另一个问题就是未授权的用户访问。在Ajax应用程序中,如果没有服务器端保护的话,一个为授权的用户可以迅速提高自己的级别。

最大的威胁是不良形式的数据。他说:“由于使用了异步代码。拒绝服务很容易发生。一种潜在的结果就是服务器资源耗尽,或者因为拒绝服务而引起服务器宕机。”

Negm说:“Ajax具有一些Web应用的安全问题,除非你在服务器端安装应用防火墙,才能得到保护。”

他说:“尽管性能是一个大问题,但你还需要考虑数据如何影响性能的。Ajax使你能够更好的验证数据,但你不得不要处理附加的验证需求,而这也是让服务器头疼的事。”

被问到提出警告是不是有点自私时,Negm回答道:“是存在这个问题,但不提出的话风险更大。我们对我们的安全纪录很满意。在警告背后的细节很有必要值得探讨。尽管不是很急,但我们正在让开发人员对此进行研究。”

位于马萨诸塞州Waltham的ZapThink公司的高级分析师JasonBloomberg说:“Ajax带来的安全问题是简单的网页无法面对的,让人们明白这一点非常有必要。Forum公司已经开始关注这个威胁,所以发出警告是很自然的。”

AdaptivePath公司是旧金山一家有用户体验的咨询公司。负责用户体验战略的主管JesseJamesGarrett说:“某种程度上,Ajax应用把业务逻辑从服务器端搬到了客户端,于是业务逻辑就被暴露出来。根据应用的不同,这种做法增加了潜在的安全风险。”

Garrett说:“下一个问题是数据安全。Ajax应用能依靠Web底层的加密层来加密那些进行数据通信的XML文档。”

Garrett说:“此外,Ajax还有一个问题。我们做的就是降低服务器通讯中的用户交互。现在,服务器通讯对于用户已经完全不可见,因此,你可以在用户不差觉得情况下传送数据。这是一个很大的风险。”

DionAlmaer是Ajax社区Ajaxian.com的创始人之一,他认为Ajax中没有什么是不安全的,但还是有一些问题。

他说:“开发人员必须想清楚他们在做什么。你可以开发一个非常丰富的Ajax应用程序,这需要从浏览器向客户端传送数据。你需要让对服务器的访问变得安全,就和使用桌面技术时一样。举个例子,你不想让你的Ajax应用能发送任何SQL到后台的服务器并运行它。黑客能利用它并手动发送有害的请求。另外,不要对任何东西都进行eval()操作,还要对XSS探测保持警惕。”

Almaer说:“底线是让你的服务器端尽可能安全。这样对你才有好处。”

Garrett对此回应到:“开发和部署任何应用最重要的是优秀的规划。开发Ajax有一定的复杂性,这也让开发团队在做选择时要多考虑一些。”

本文作者:



相关阅读:
vbs版IP地理位置查询小偷
不同浏览器的CSS Hack写法小结
Windows Vista系统下彻底屏蔽Office正版增值计划的提示
打造超酷的PHP数据饼图效果实现代码
PHP字符串函数系列之nl2br(),在字符串中的每个新行 (\n) 之前插入 HTML 换行符br
JavaScript入门教程(1) 什么是JS
asp.net 页面延时五秒,跳转到另外的页面
XP 内存不能为read怎么解决
互联网公司招聘web前端笔试题目
CSS关于初学者的问题
VBS正则表达式对象的MultiLine属性
linux下破解SAM密码
php操作JSON格式数据的实现代码
IIS备份和还原方法
快速导航
PHP MySQL HTML CSS JavaScript MSSQL AJAX .NET JSP Linux Mac ASP 服务器 SQL jQuery C# C++ java Android IOS oracle MongoDB SQLite wamp 交通频道 作文范文 我说内蒙古 小学二年级作文200字:Only a Few Words(几个英语词) 施工项目党支部年终工作总结 【我的家乡】邓井关镇 滋养我童年的故乡 一年级有关新年作文:过新年 首个国家公祭日感悟 会议主持流程词 政协委员访谈:如何打造法治政府 笨人 要有说实话的勇气 哭 泣 的 试 卷 乡村最美教师评选事迹材料 葫芦与瓜(风的自由) 小学五年级作文500字:改奖状 徐州连云港考察调研 我的世界也精彩作文 中国合伙人的经典台词 古典诗词梦作文550字 八十岁,依然做优雅的公主 言想 改变人生的励志名言:梦想是自做的茧 关于窃玩记作文350字 青春的毕业季 雨之末 关爱天使 哭泣的婚姻,破碎的梦 青青感恩——筷子兄弟《老男孩》与《父亲》 端午节作文:乡村端午节 感恩节祝福短信大全 仿佛那秋天的童话 心态、重在修炼 在全县第五届记者节座谈会上讲话 我爱您--老师作文200字 教育工作要点_企划文案 大自然的旋律 《暑假奇遇》读后感 等你,世博作文800字 淡后 离婚协议书范文2012 物业行政助理工作职责 高中高二作文1000字:别让易殇的记忆,风干了梦想 在全县党报党刊发行工作会议上的讲话(邮政局) 小学五年级作文450字:白杨 快乐仰卧起坐 深化中非投资合作的对策思考 你是会花钱的人吗?找个会花钱的人做朋友 放飞梦想作文 大爱无私?观“5.12”大地震有感 铁路见习生自我鉴定 担任“打饭工”作文700字

Copyright © 2016 phpStudy |