|
写过两本AJAX相关着作的Asleson同时也是开发人员,他并不同意网站开发人员忽视安全问题。“有时这牵涉到桌面电脑十多年来发展的轨迹,十多年前大家都不注重安全,现在这个问题已没人敢轻忽,”他说。
两大网络巨人Google与AOL也有同样看法。Google工程部门副总裁DouglasMerrill在电子邮件中说道,Google是AJAX的爱用者。
“和其他软件开发一样,AJAX的开发也需相当注重安全,时时谨记使用者的最大利益,”Merrill说。Web应用好处之一是修补漏洞又快又简单,而不需要劳动到使用者。
他表示,虽然Google还无法百分之百免除网站漏洞,但安全却是该公司产品与服务设计、开发、上线及运营不可或缺的一环。
“在我们经验里,只由安全小组做完的流程无法适用到别的部门,不够有效,因此我们试着把安全融入到整个产品开发过程当中。”Merrill说。
愈大愈好?
AOL则相信大型网络公司在安全上做得比新创公司来得好。“我们有二十多年经验,又有很大的安全专业部门确保我们既有与新推出的产品的安全,”该公司发言人AndrewWeinstin说。
MySpaces、Flickr或GoogleMaps的成功引发网络另一波拓荒潮,而且进入门槛也不高,Hoffman说。但他表示,事情可不只是架个网站那么简单。开发人员得要具备安全意识,留心软件瑕疵,或是内建功能遭人以恶意程序滥用。
上个月发现的Yamanner蠕虫就是利用雅虎Mail可在信息中附加JavaScript的功能而来,专家出。只要使用者一打开件,描述语言就会执行,并对雅虎Mail服务下指令把使用者的通讯录寄到远端服务器。这只蠕虫也会命令邮件服务把恶意信息寄给所有联络人。
雅虎表示会努力保护用户信息。“我们已成立项目小组确保工程师对安全的重视,并且以各种方法确保整个开发过程中的安全品质,包括开发人员教育、基础架构、检测及工具等等,”该公司代表说。
MySpaces方面,去年十月爆发的Samy被视为第一个跨网站指令码漏洞攻击。它攻击了MySpace网站,把数百万用户加入到作者的“好友名单”上。MySpace用户看到被感染的使用者信息(profile)时,他自己的使用者信息也会被感染,并且会去感染别人。
两种攻击都没有引发损害,但专家警告这些漏洞未来可能遭到更严重攻击。“我认为AJAX还没有这种攻击或防护。”Chess说。
专家表示,网站开发人员对使用者及服务器的安全意识将渐成Web2.0安全之所系。网络使用者的PC安全软件,像是杀毒与反网钓工具的能提供一定程度的防护。但此类应用一般只在攻击发生后效果最大,因为它们需要攻击签名或已知恶意网站的黑名单为之。
“使用者一定被弄得一头雾水,但是Web应用真的存在漏洞,”Hoffman说。“解铃还需系铃人,只有实际撰写Web应用程序的人才能真正解决安全问题。”Hoffeman说。
|
| 共2页: 上一页 [1] 2 下一页 |
评论加载中…
