|
|
WIADOMOŚCI
Pospieszne wdrażanie technologii AJAX może być niebezpieczne
Piotr Waszczuk
,
IDG News Service
|
(2007.08.08)
|
Deweloperzy zajmujący się tworzeniem witryn i aplikacji w architekturze AJAX poświęcają zbyt mało uwagi kwestiom bezpieczeństwa - wynika z badań opublikowanych podczas konferencji Black Hat. W rezultacie wiele firm, chcących szybko wzbogacić własne strony internetowe, niepotrzebnie naraża się na liczne zagrożenia.
Technologia AJAX umożliwia tworzenie aplikacji, pozwalających na zwiększenie funkcjonalności i walorów estetycznych witryn internetowych. Architektura ta umożliwia zmianę zawartości strony, bez konieczności jej przeładowania. Raz załadowana strona jest - za pomocą języków skryptowych działających na komputerze internauty - na bieżąco modyfikowana w zależności od jego działań. Zamiast każdorazowego wczytywania całego dokumentu, pobierane są tylko jego fragmenty, co przekłada się na ograniczenie ilości przesyłanych danych. Jednak zdaniem Billego Hoffmana z firmy SPI Dynamics, konieczne jest wprowadzenie ścisłych ograniczeń dostępu do określonych informacji z poziomu przeglądarki i sposobu przesyłania danych. "Wiele firm zapomina o tym, w pośpiechu budując interaktywne strony" - twierdzi.
Według niego, słabo zaprojektowane witryny wykorzystujące architekturę AJAX, często umożliwiają wykonywanie kodu, który powinien być wykonywany wyłącznie na serwerze, po stronie klienta. To z kolei pozwala na modyfikowanie wykonywanych skryptów oraz zmianę kolejności ich działania. Poza tym, dostępność zbyt dużej partii kodu po stronie klienta, daje możliwość zmiany niektórych zapytań języka SQL, skierowanych do bazy danych. "To bardzo duże zagrożenie dla poufności informacji zapisanych w bazie danych, niezależnie czy są to numery kont bankowych, hasła, czy dane administracyjne" - uważa Bill Hoffman, który wraz z Bryanem Sullivanem jest autorem raportu poświęconego bezpieczeństwu aplikacji w architekturze AJAX.
Zdaniem obu specjalistów, podstawowym błędem programistów zajmujących się tworzeniem takich aplikacji, jest założenie, że niezależnie czy kod będzie wykonywany po stronie serwera, czy klienta - zostanie potraktowany w ten sam sposób. "Wielu programistów zapomina, że fragmenty aplikacji, które pierwotnie miały być wykonywane w bezpiecznym środowisku - na serwerze, powinny być wykonywane wyłącznie na nim. Przekazywanie ich na komputery klienckie to w gruncie rzeczy dostarczanie gotowego interfejsu API, dzięki któremu każdy może uzyskać nieautoryzowany dostęp do bazy danych" - czytamy w raporcie. Stąd według jego autorów konieczność ograniczania kodu wykonywanego po stronie klienta do minimum oraz wymuszania odpowiedniego formatu i długości przesyłanych zapytań. Przede wszystkim jednak autorzy raportu podkreślają, że nie warto posiadać najlepszej nawet witryny kosztem bezpieczeństwa firmy. "Trzeba pamiętać, że w przypadku architektury AJAX również należy poświęcić sporo czasu na dokładne zaprojektowanie i przetestowanie aplikacji. Wbrew pozorom to program jak każdy inny" - dodają eksperci.
|
| |  |
Zobacz też:
Aktualności Artykuły
|
|
|
|
| Google Gears z funkcjami lokalizacyjnymi | (2008.08.25) | | W miniony piątek (22 sierpnia) Google udostępnił nową wersję oprogramowania Gears. Wprowadza ona m.in. funkcje związane z lokalizacją użytkowników aplikacji internetowych działających w trybie offline. |
| 450 tys. pobrań MS SQL Server | (2008.08.21) | | Chris Sharp z Microsoftu poinformował w czasie konferencji TechEd w Kuala Lumpur, że udostępnione niedawno najnowsze wydanie SQL Servera - 2008 - zostało już pobrane przez ponad 450 tys. użytkowników. |
| Java Lightweight UI Toolkit jako open source | (2008.08.18) | | W czwartek (14 sierpnia) koncern Sun udostępnił kod źródłowy pakietu narzędziowego UI Toolkit na licencji GPLv2 z zastrzeżeniem Classpath Exception. W uproszczeniu zastrzeżenie to oznacza, że udostępnione oprogramowanie do tworzenia interfejsów graficznych może być wykorzystywane w produktach udostępnianych na zasadach innych niż GPL. |
| CIA i Web 2.0 | (2008.08.14) | Niezbyt często zdarza się, że media mają możliwość odwiedzenia kwatery głównej CIA mieszczącej się w Langley w stanie Virginia w USA. Nasi dziennikarze mieli taką możliwość i podczas wizyty przyjrzeli się procesowi transformacji informatycznej nadzorowanemu przez człowieka o polsko brzmiącym nazwisku Ala Tarasiuka. Opowiedział on o tym, jak IT pomaga CIA po wydarzeniach 11 września.
|
| Kryptografia od Google | (2008.08.13) | Google poinformował o dostępności kryptograficznego pakietu narzędziowego open source. Przeznaczonego głównie dla aplikacji webowych. Jest to pierwszy zestaw narzędziowy tego typu stworzony przez firmę działającą w sektorze usług internetowych, poinformował serwis zdnet.com
|
| Jest Service Pack 1 dla Visual Studio 2008 i .Net 3.5 | (2008.08.12) | | W poniedziałek (11 sierpnia) Microsoft udostępnił pierwsze pakiety Service Pack dla środowiska programistycznego Visual Studio 2008 oraz platformy .Net 3.5. Oba zestawy zawierają poprawki znaczących błędów oraz dodatkowe usprawnienia. |
|
|
|
Zasoby premium - nie masz uprawnień dostępu: zapłać SMSem, 
Zasoby premium - dostęp przyznany
