Ajax 的安全-不容忽視的問題

來源:互聯網
上載者:User
ajax|安全|問題   XML安全廠商Forum Systems公司上月在安全問題上提出了一個警告,他認為,隨著越來越多的Ajax風格的應用出現,很多組織需要考慮潛在的安全缺陷以及效能問題。

  位於鹽湖城的Forum Systems公司的市場副總裁Walid Negm說:“我們並非在製造警告。我們只是感到需要讓人們考慮安全和可擴充性需求。我們始終在關注使用XML的技術。這是我們份內的事。”

  Ajax是Asynchronous JavaScript and XML的縮寫。它通過建立富網路應用來加強使用者體驗。根據Forum的看法,通過使用與Web服務互操作的更具有互動性的頁面,Ajax增加了XML、文本和HTML的網路通訊量。但這家公司認為由於依賴XML作為請求/相應的內容類型,負載成為了Web服務的弱點。該公司還指出,通過把使用者的Web瀏覽器轉換成Web服務門戶,Ajax通訊模型增加了瀏覽器處理的可靠性。

  Forum公司嘗試對XML內容過濾、Web服務安全以及XML提速功能進行改進。

  Negm指出了一些潛在的問題。他說,首先是惡意的使用者可能會發送髒資料,尤其是建立攻擊性的用戶端。另一個問題就是未授權的使用者訪問。在Ajax應用程式中,如果沒有伺服器端保護的話,一個為授權的使用者可以迅速提高自己的層級。

  最大的威脅是不良形式的資料。他說:“由於使用了非同步代碼。拒絕服務很容易發生。一種潛在的結果就是伺服器資源耗盡,或者因為拒絕服務而引起伺服器宕機。”

  Negm說:“Ajax具有一些Web應用的安全問題,除非你在伺服器端安裝應用防火牆,才能得到保護。”

  他說:“儘管效能是一個大問題,但你還需要考慮資料如何影響效能的。Ajax使你能夠更好的驗證資料,但你不得不要處理附加的驗證需求,而這也是讓伺服器頭疼的事。”

  被問到提出警告是不是有點自私時, Negm回答道:“是存在這個問題,但不提出的話風險更大。我們對我們的安全紀錄很滿意。在警告背後的細節很有必要值得探討。儘管不是很急,但我們正在讓開發人員對此進行研究。”

  位於麻薩諸塞州Waltham的ZapThink公司的進階分析師Jason Bloomberg說:“ Ajax帶來的安全問題是簡單的網頁無法面對的,讓人們明白這一點非常有必要。Forum公司已經開始關注這個威脅,所以發出警告是很自然的。”

  Adaptive Path公司是舊金山一家有使用者體驗的諮詢公司。負責使用者體驗戰略的主管Jesse James Garrett說:“某種程度上,Ajax應用把商務邏輯從伺服器端搬到了用戶端,於是商務邏輯就被暴露出來。根據應用的不同,這種做法增加了潛在的安全風險。”

  Garrett說:“下一個問題是資料安全。Ajax應用能依靠Web底層的加密層來加密那些進行資料通訊的XML文檔。”

  Garrett說:“此外,Ajax還有一個問題。我們做的就是降低伺服器通訊中的使用者互動。現在,伺服器通訊對於使用者已經完全不可見,因此,你可以在使用者不差覺得情況下傳送資料。這是一個很大的風險。”

  Dion Almaer是Ajax社區Ajaxian.com的創始人之一,他認為Ajax中沒有什麼是不安全的,但還是有一些問題。

  他說:“開發人員必須想清楚他們在做什麼。你可以開發一個非常豐富的Ajax應用程式,這需要從瀏覽器向用戶端傳送資料。你需要讓對伺服器的訪問變得安全,就和使用案頭技術時一樣。舉個例子,你不想讓你的Ajax應用能發送任何SQL到背景伺服器並運行它。駭客能利用它並手動發送有害的請求。另外,不要對任何東西都進行eval()操作,還要對XSS探測保持警惕。”

  Almaer說:“底線是讓你的伺服器端儘可能安全。這樣對你才有好處。”

  Garrett對此回應到:“開發和部署任何應用最重要的是優秀的規劃。開發Ajax有一定的複雜性,這也讓Team Dev在做選擇時要多考慮一些。”

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.