Nieuws
image

Hoe (on)veilig is AJAX nu werkelijk?

vrijdag 1 december 2006, 12:28 door Redactie, 5 reacties

AJAX (Asynchronous Javascript And XML) mag dan voor interactieve pagina's en applicaties zoals Gmail en Google Maps zorgen, de scripttaal wordt ook vaak als een beveiligingsrisico beschouwd. Ten onrechte, aldus WhiteHat Security. Websites zijn inderdaad onveilig, maar AJAX is niet de boosdoener.

AJAX maakt websites interactiever, maar dat is het enige. Er verandert niets op de webserver, waar de beveiliging hoort te zijn. Critici beweren dat AJAX voor een groter aanvalsoppervlak zorgt en allerlei andere problemen zoals toegenomen complexiteit, denial of service, cross-site scripting, afhankelijkheid van client security en meer introduceert. Deze problemen waren er ook al voor AJAX. WhiteHat gaat in dit artikel dan ook de strijd aan met de volgende AJAX mythes:

  • AJAX zorgt voor een groter aanvalsoppervlak (niet waar)
  • Aanvalsoppervlak is door AJAX moeilijker te vinden (ja en nee)
  • AJAX kan een denial of service veroorzaken (niet echt)
  • AJAX is afhankelijk van client-side security (nee)
  • AJAX leidt tot slechte beveiligings beslissingen (min of meer)
  • AJAX verergert Cross-Site Scripting aanvallen (hopelijk niet)
  • AJAX verandert security best practices (nee)
    • Reacties (5)
    01-12-2006, 13:00 door Anoniem
    Komt bij mij net helemaal overtuigend over dit artikel. En
    daarmee bedoel ik de uispraken van WhiteHat Security
    01-12-2006, 13:32 door [Account Verwijderd]
    [Verwijderd]
    01-12-2006, 19:33 door Anoniem
    Lekker 'busten' met deze uitspraken:
    nee, ja en nee, niet echt, nee, min of meer, hopelijke niet,
    nee...

    Met de eerste 'niet waar' ben ik het niet eens:
    100% bestaat niet, foutloze software bestaat niet. Elke
    functie vereist extra programmacode, dus in principe meer
    kans op fouten met mogelijke beveiligingsrisico's.
    Daarnaast heb je javascript nodig. Daarmee gaat nogal eens
    wat mis. Als steeds meer websites javascript en ajax
    gebruiken, ontstaat het risico dat javascript steeds meer
    standaard aan staat in browsers. Alleen bewuste gebruikers
    zijn niet te gemakzuchtig om zorgvuldig met javascript om te
    gaan. Dus voor de grote massa mogelijk meer gevaar.

    Met de tweede 'niet waar' ben ik het ook niet eens:
    Elke keten is zo zwak als zijn sterkste schakel. Dus zowel
    de server als de client als alles erop en er tussenin,
    kunnen veiligheidsproblemen hebben. Dat wordt met de derde
    'niet waar' min of meer bevestigd; het is blijkbaar toch
    belangrijk de beveiliging van je client goed op orde te hebben.

    Verder zegt-ie min of meer dat AJAX kan leiden tot slechte
    beveiligings beslissingen. Dat lijkt me ook geen pre.

    Dus ik sluit me aan bij de uitspraken van Anoniem op 01-12,
    13.00.
    02-12-2006, 11:56 door [Account Verwijderd]
    [Verwijderd]
    02-12-2006, 12:17 door raboof
    Je kunt met AJAX nu eenmaal mooie dingen doen die zonder
    eigenlijk niet gaan, bijvoorbeeld labs.google.com/suggest om
    iets eenvoudigs te noemen. Je gaat niet na iedere
    toetsaanslag de hele pagina refreshen. Het doel van AJAX is niet in de eerste plaats de databaseload te verlagen, hoe kom je daarbij?

    Ik vind het geen erg sterk artikel: de interpretaties van de
    zogenaamde `mythes' die worden `ontkracht' komen me wat
    geforceerd verzonnen over eigenlijk. En soms lijkt hij de
    stelling juist te bevestigen in plaats van te ontkrachten,
    bijvoorbeeld mythe 1:

    While the coolness factor of AJAX drives developers
    to publicly expose more functionality - which may introduce
    new “server-side” vulnerabilities - this can hardly be
    blamed on AJAX. New code has always meant an increased risk
    of vulnerabilities.
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.

    Zoeken
    search
    Certified Secure