Увеличение числа Ajax-приложений грозит компаниями и конечным пользователям шквалом новых дыр в веб-приложениях, а разработчики при этом хранят спокойствие и не уделяют достаточного внимания этой проблеме.
“Мы наблюдаем увеличение числа нападений вследствие того, что люди понимают, что легче всего это осуществить через веб-приложения” – комментирует Билли Хоффман, главный специалист по безопасности компании Spi Dynamics. “На сетевой безопасности можно делать любые деньги” – завляет Хоффман на конференции AjaxWorld в Калифорнии. “Всегда легче атаковать приложение через веб-слой, чем пытаться прорваться через файрвол или обмануть систему защиты от проникновения. Естественно, что хакеры идут по пути наименьшего сопротивления”.
Во вторник компания Google представила инструменты Ajax для своей поисковой системы, что теперь позволит пользователям встроить инструменты поиска и результаты поиска прямо в собственные веб-страницы. В числе прочих популярных сетевых служб, использующих Ajax, сайт Flickr, предоставляющий услуги по обмену цифровыми изображениями, и известный американский новостной портал Digg.
Ajax использует XML для передачи данных напрямую из базы данных пользователю, что значительно повышает уязвимость клиента. “Когда вы начинаете использовать Ajax-приложения, это увеличивает фронт возможной атаки” – так заявляет Хоффман. Например, почтовая служба Yahoo уже пострадала от подобной уязвимости прошлым летом. Электронные сообщения, зараженные вирусом, позволили хакерам получить доступ к чужим почтовым аккаунтам, скачать содержимое адресной книги и провести спам-рассылку со взломанных аккаунтов. По мнению Хоффмана, подобные нападения быстро превращаются в самую масштабную сетевую угрозу.