image

Is AJAX een security risico?

maandag 13 februari 2006, 12:39 door Redactie, 4 reacties

Ajax (Asynchronous JavaScript and XML) is een term voor het ontwerp van interactieve webpagina's waarin asynchroon gevraagde gegevens worden opgehaald van de webserver, zonder dat hiervoor de hele pagina ververst moet worden. Zo'n pagina is te vergelijken met een applicatie die in de browser draait.

De technologie wordt inmiddels door Google, Yahoo! en Amazon gebruikt en zorgt voor zeer dynamische websites. Ajax is echter onder vuur komen te liggen. Het zou browsers namelijk blootstellen aan gevaarlijke risico's. Ajax maakt gebruik van JavaScript om commando's van de server uit te voeren. Deze functie is echter zichtbaar in de bron van de pagina, en het gevaar bestaat dat hiermee een client wordt aangevallen.

Een aanvaller zou een server kunnen opzetten en daar dan een client naar toe laten verwijzen, die zonder dat hij het weet kwaadaardige code downloadt. Tegenstanders van web services zien dit als weer een reden om de technologie niet te gebruiken. Het probleem zit hem echter niet in de web services, maar in de client, die van de browser's scripttaal gebruik maakt.

Helaas zijn er geen andere goedkope alternatieven. Adobe is van plan om de SDK voor haar Flex 2.0 technologie te verspreiden, die veiliger is dan een browser die JavaScript uitvoert, maar Flex is kostbaar en tijdsintensief om uit te rollen. "Is Ajax een security risico? Mogelijk, maar het is geen reden om Web services onderuit te halen alleen omdat Ajax een van de meest gebruikte SOA clients is" aldus Lori MacVittie.

Reacties (4)
13-02-2006, 13:37 door Anoniem
Misbruik kan ook plaats vinden doordat de webservice die je hebt gebouwd
voor je eigen website, door anderen wordt misbruikt. Je moet dan extra
checks inbouwen om te voorkomen dat anderen jouw routines & server
belasting (bijv. een credit-card nummer / adres / postcode /
bankrekeningnummer controle) gaan gebruiken voor hun eigen doel.
13-02-2006, 14:25 door Anoniem
Enige code wat je download is javascript, dit wordt nu ook al gebruikt. Deze
javascript connect met een webservice. Is al bestaande technologie in een
nieuw jasje. Onzin stuk dus.
13-02-2006, 15:58 door Bl4deRunner
In plaats van Flex 2.0 kan je ook het opensource equivalent
gebruiken: AMFPHP
http://www.amfphp.org/
14-02-2006, 11:00 door jeed
Door Anoniem
Misbruik kan ook plaats vinden doordat de webservice die je
hebt gebouwd
voor je eigen website, door anderen wordt misbruikt.
Dat is serversite beveiliging, dat is heel wat anders. Een
webservice maak je toch voor de hele wereld, net als een
webpagina?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.