Ajax帶來Web病毒新一代

顯然，隨著Ajax的流行，一切似乎都非常風平浪靜，儘管大家都知道不會一直下去。就像隨著智能手機的出現，手機病毒也逐漸流行。Ajax顯然給Web的瀏覽器端帶來了極大的能力，當然，病毒也肯定不會放過這個機會，只不過是時間的問題。

一篇文章在網路上掀起軒然大波，JavaScript worm targets Yahoo!。該文描述了最近一次Yahoo Mail收到病毒攻擊的事件。

更詳盡的資訊你可以Security - Yamanner Worm Hits Yahoo Mail，儘管這僅僅不過是Yahoo的一個Beta版Mail System，但是由於它的Ajax背景，似乎足夠吸引人。

上文有完整的解釋，甚至，該病毒驚動了Symantec。Symantec對該病毒做出了反應，具體資訊見這裡：JS.Yamanner@m。你可以看到整個病毒啟動並執行全過程。

當然，也有代碼，如果你對代碼非常敏感的話。不過我沒看，開啟就暈了。：P

大名鼎鼎的Eric對此事也做出了反應，在其Blog上發出了名為Will Ajax get another bad rap? Yahoo worm。

是啊，自從Ajax問世以來，雖然本身發展的紅紅火火，但也總是質疑聲不斷。這次又加上病毒的襲擾，恐怕，又有人會站出來痛斥Ajax的X大弱點了。

其實，任何一個投身於Ajax大潮中的開發人員都應當明白，事情都有兩面性。當XHR和Javascript的強大組合賦予用戶端更多的功能的時候，總有些不和諧的東西會參與進來。問題就在於，瀏覽器不會替你去區分網頁中的JS代碼，對它來講，只要是這個網頁的，都一視同仁。所以，如果我們不控制，就永遠存在風險。

就像Eric提到的，對於使用者的輸入，你必須進行檢查。甚至有時，即便不是使用者的輸入，是來自遠方的伺服器，你也必須想出某種策略來進行驗證。你不能假定所有這一切都運行在一個封閉、穩定的環境中，除非，你的系統不受歡迎，沒有多少用處。

問題是，這樣的問題也不是頭一次。Javascript代碼的安全問題並不是無人知曉，只不過由於之前應用規模和重要程度的限制，沒有人重視。其實，Ajax所做的，無非就是提高Javascript代碼的量和重視程度而已。

還是Eric的那句話，連Yahoo都能栽在這裡，我們也不得不掂量一下自己的分量了。

相關串連還包括：

1、  Web 2.0 worm downs MySpace

2、  Kama Sutra worm crashes malware chart

3、  Download.Ject-style worm spreads via IM