电脑技术学习

Web2.0安全堪忧 Ajax旧患复发?

dn001
根据美国一家调查机构的调查显示,超过半数的IT经理们已经对Web 2.0的商业价值情有独钟,他们对博客和Podcast的商业价值了如指掌。而且这些企业已经准备在今年就引入Web2.0。

  但是Gartner发布了一份报告告诫企业,他们忽视了Web2.0的潜在危险。Gartner认为:并不安全的Web 2.0聚合将导致新的网络钓鱼和攻击。

  Websense也在其“2007年安全趋势预测报告中称:虽然Web 2.0的技术在大规模的使用,却忽视了安全问题,Web 2.0的安全问题将会逐渐增多。Web 2.0站点正在不断增长,大约前20家访问流量最高网站的80%都是这样的站点,比如MySpace和Wikipedia。内容不断变化是这类站点的特色,而且这种特点决定了不仅监控非常困难,而且很难确保相应的安全。

  是Ajax的错吗?

  Web 2.0只是一个笼统概念,涵括非静态、非纯网页的网站。Web2.0和过去的Web不同的是,它提供了与桌面应用非常相似的使用经验。Ajax则是实现Web2.0模式的主要技术。Google去年推出的Google Maps就是第一批向世人展示Ajax开发效果的网站之一,它提供了强大的交互能力。

  但Ajax的“功能不只是把网页变得更互动而已。专家认为它也给黑客提供了整垮Web服务器的渠道。虽然Ajax本身不会引发漏洞,只是它让旧有问题变得更容易发生。

  黑帽安全大会上,有人针对Ajax的安全问题发表了评论:传统网站好比一幢没有窗子、只有一扇门的房子,而Ajax网站则是一个有数不清窗子和旋转门的房子,尽管你在前后大门上加了最安全的锁,但我还是可以从窗口钻进去。

  以Ajax技术开发的网站将会“更容易受到攻击,因为它和浏览器有更多互动,而且可以在用户端PC上执行JavaScript。

  Ajax也增加了跨网站指令码(Cross-Site Scripting)的可能性,攻击者可以利用这项弱点盗取使用者帐号,发动网钓诈骗窃取信息,或甚至把恶意源代码下载到使用者电脑中。微软、eBay、雅虎与Google等网站都曾出现跨网站指令码的漏洞。

  开发Web2.0更要注重安全性

  MySpace.com可能算是Web 2.0的榜样,但从安全的角度来看,它却远没有那样完美。这家广受欢迎的公共网站在最近受到一种蠕虫的重创,这种蠕虫能够利用网站上存在的脚本漏洞盗取用户的口令。令人不安的是,MySpace已经不止一次受到了蠕虫的破坏。

  最近一次MySpace蠕虫所使用的这种跨站点脚本攻击方式,已经在过去的几年中变得越来越普及,因为黑客们已经发现了这类攻击的作用和好处。一些安全专家认为,这些漏洞可能造成的危害远远超出人们的想象,甚至在用户毫不知情的情况下造成许多危害,其中包括强迫PC下载非法内容、侵入其他Web站点或发送电子邮件等。

  当客户端强大到足以分担计算、实现令人炫目的功能时,Web2.0安全问题也被逐渐关注。Web2.0应用有多个终端点;每个点都是威胁的侵入点。为了保证安全,我们应当保护好所有这些点。Web2.0促成了很多浏览器安全相关的新的漏洞。利用这些安全漏洞很难但不是不可能。安全问题以及促成因素结合起来将严重影响那些大的网络团体,比如能被攻击者蠕虫和病毒利用的那些组织。最终将导致身份信息的泄漏。

  专家表示,Web2.0网站开发人员对网络用户及服务器的安全意识更应该加强。网络用户的PC安全软件,比如杀毒软件与反钓鱼工具能提供一定的防护能力,但此类应用一般只在攻击发生后效果最大,因为它们需要攻击签名或已知恶意网站的黑名单做为比对。

标签:

上一篇 菜鸟的跳板牛人的乐园JSF“通吃”秘笈

下一篇 10个你必须用到Ajax的地方