ra. Vậy thì: • Đầu tiên, cần phải hiểu nhân viên của mình, sử dụng phương tiện truyền thông hiệu quả nhất để tiến hành hội thảo hay đưa ra các thông điệp cụ thể về quy tắc, quy định tới từng nhân viên. Bà mẹ của những đứa trẻ thường thích cái gì càng đơn giản càng tốt, như các bản ghi nhớ ngắn gọn, mạch lạc dễ nghe, dễ đọc và dễ nhớ . Còn các quý ông lại thường thích tin nhắn hay e-mail vì nó nhanh và chi tiết. • Sử dụng kỹ thuật truyền thông tương tác, như video game, các câu hỏi trắc nghiệm thử tài nhanh. Phương pháp này đơn giản mà hiệu quả, gây được hứng thú cho nhân viên vì nó mang tính giải trí, nhưng vẫn đem lại tác dụng giáo dục. • Tránh sử dụng theo kiểu ra lệnh, cấp trên bảo cấp dưới phải tuân theo, vì rất dễ gây phản ứng ngược đối với nhân viên trẻ. Tuyên truyề n với tấn suât mỗi năm một lần sẽ không đem lại hiệu quả gì, vì thời gian như vậy không đủ nhiều để các quy định còn đọng lại trong đầu nhân viên. • Cố gắng đưa ra các thư tin hoặc e-mail hài hước, vui nhộn và đặc sắc như gửi thư với một loại cum từ “Bạn có biết?” ở đầu mỗi đoạn, vừa mang tính giải trí, vừa có tác dụng giáo d ục. • Với các buổi gặp trực tiếp nhân viên, đừng nên chỉ nói cái gì được thực hiện và tiến hành (như mã hoá máy tính để bàn) mà còn phải giải thích tại sao càn làm như vậy. Khuyến khích câu hỏi từ phía nhân viên và đưa ra câu trả lời càng súc tích, ngắn gọn nhưng chính xác càng tốt. Như thế không chỉ làm thoả mãn trí óc nhân viên, khiến họ cảm thấy được tôn trọng, được lắng nghe mà ngay những người quản lý cũng học hỏi thêm đượ c nhiều ý tưởng để nâng cao chính sách, quy định và hành động sao cho đặt hiệu quả cao nhất. • Đưa ra thông tin cảnh báo liên quan đến bảo mật nhưng có thể áp dụng được cho các thiết bị bên ngoài nơi làm việc. Như các rủi ro có thẻ gặp phải khi chia sẻ bài hát trên iPod mức ngang hàng là một ví dụ. Ai cũng sẽ quan tâm đến những điều có thể giúp ích cho cuộc sống cá nhân trước tiên. • Tổ chức các bài nói chuyên của chuyên gia bảo mật hoặc nhân viên kinh doanh về tầm quan trọng của bảo mật thông tin. Điều đó sẽ có sức thuyết phục với nhân viên quan tâm đến các vấn đề kinh doanh chứ không phải theo cách nghĩ thông thường của họ là đánh đồng cùng với các vấn đề IT. T.Thu (Theo ComputerWorld) JavaScript hijacking - Lỗ hổng "chết người" của Web 2.0 - 12/4/2007 8h:30 Các nhà nghiên cứu về bảo mật đã tìm thấy một dạng tấn công mới thông qua Web chỉ nhằm vào các ứng dụng Ajax đang rất được ưa chuộng trong trào lưu Web 2.0. Foritfy Software, hãng đã tìm ra lỗ hổng mới trên với tên gọi “JavaScript hijacking” cho rằng hầu hết các bộ công cụ (toolkit) Ajax đều có lỗi này. “JavaScript hijacking cho phép những kẻ tấn công trái phép đọc được dữ liệu nh ạy cảm từ các ứng dụng bị lỗi bằng phương pháp tương tự như phương pháp thường được sử dụng để tạo các mashup (một dạng ứng dụng web kết hợp ít nhất hai dịch vụ từ các trang Web khác hẳn nhau)” – Chess viết trong một tài liệu hướng dẫn (whitepaper) đã được công bố. Mọi người đều cho rằng sự phát triển của mô hình lập trình Web Ajax chỉ có thể làm gia tăng các lỗi bảo mật đã có. Rất ít người nghĩ nó có khả năng gây ra một lỗi bảo mật mới, Brian Chess, “kiến trúc sư trưởng” của Fortify nói. Phương pháp thiết kế ứng dụng web Ajax sử dụng cách thức truyền dữ liệu dưới nền của mỗi trang, không cần thiết phải làm mới (refresh) toàn bộ lại trang mà người dùng đang tương tác. Điều này tạo cho người dùng cảm giác các ứng dụng Web giống như các ứng dụng desktop. Gmail là một trong các ứng dụng Web như thế. Bằng cách khai thác các lỗ hổng “JavaScript hijacking”, kẻ tấn công có thể lấy được thư từ hộp thư Gmail của nạn nhân hoặc có thể truy cập dữ liệu được truyền qua ứng dụng Ajax. Mặc dù Ajax là viết tắt của “Asynchronous JavaScript and XML” (JavaScript không đồng bộ và XML) nhưng không nhất thiết phải sử dụng XML để truyền tải. Bạn có thể sử dụng HTML, văn bản không định dạng (plaintext) hoặc JavaScript. Theo Chess, vấn đề nằm ở chính chỗ này. Khi ứng dụng sử dụng định dạng dữ liệu JavaScript (viết tắt là JSON) thay vì XML để truyền dữ liệu giữa trình duyệt và máy phục vụ Web, nó sẽ được trình duyệt xử lý theo một cách khác với thông thường. Các trình duyệt sử dụng các qui tắc để hạn ch ế nơi dữ liệu HTML được miền gửi tới gọi là “chính sách cùng một nguồn” ("same origin policy"), nhưng qui tắc này bị bỏ qua khi dữ liệu có dạng JavaScript. Một website hoàn toàn có khả năng chạy các dữ liệu JavaScript đang đặt trên một miền khác. Đây là kĩ thuật được sử dụng trên các ứng dụng Google Adsense hay Google Maps. Hiện tại Fortify khẳng định rằng kẻ tấn công có thể khai thác lỗ hổng này để đăng nhập vào các ứng dụng Ajax, đóng giả là các nạn nhân và nhận dữ liệu mà ứng dụng này cung cấp bình thường dưới dạng JSON. Ví dụ về một trường hợp tấn công, một nạn nhân khi đã xác thực vào ứng dụng Ajax sẽ có phần cookie đăng nhập trên trình duyệt của mình, sau đó nạn nhân này bị lừa truy cập vào trang web của kẻ tấn công. Trang web này có chứa các đoạn mã JavaScript thực hiện các lời gọi tới ứng dụng Ajax. Dữ liệu nhận được t ừ ứng dụng sẽ được gửi đến cho kẻ tấn công. Nếu ứng dụng Ajax là một dịch vụ Webmail, kẻ tấn công có thể lấy được nội dung của hộp thư đến hoặc sổ địa chỉ. Thực vậy, các nghiên cứu này của Fortify đã dựa trên kết quả tìm thấy được trước đó của Jeremiah Grossman về lỗi tương tự trong ứng dụng Gmail vào nă m ngoái. Theo Fortify, có 11 trong số 12 nền tảng (framework) họ đã kiểm tra không có khả năng chống đỡ được những tấn công dạng này. Tuy nhiên công ty này đã không kiểm thử trên các ứng dụng đang hoạt động. Các nền tảng bị lỗi gồm có: Microsoft ASP.NET AJAX (còn gọi là Atlas), XAJAX và Google Web Toolkit, Prototype, Script.aculo.us, Dojo, Moo.fx, jQuery, Yahoo! UI, Rico, và MochiKit. Theo Chess, những nhà cung cấp này đã được thông báo và họ sẽ sửa lỗi trong những thư viện sắp được tung ra. Các trang whitepaper đang được phát hành để giúp nhữ ng người lập mã đã từng viết các đối tượng Ajax có thể xây dựng thêm các bộ chống đỡ tương tự. Vì Ajax đang ở thời kì đầu, nên đây chưa hẳn là một vấn đề lớn như hiện tượng tràn bộ đệm khi mới được tìm ra, Chess nói. Không có nhiều ứng dụng Ajax lớn cần phải sửa lỗi. Do đó hiện nay Fortify muốn công khai kết quả tìm kiếm của mình càng rộ ng rãi càng tốt để loại bỏ được vấn đề này ngay từ đầu. Hợi Lê AJAX - sự kết hợp kỳ diệu của công nghệ web 3/20/2006 4:40:00 PM Đề tài kỹ thuật vốn luôn khô khan và không mấy thú vị, nhưng những câu chuyện về quá trình phát triển của AJAX trong không gian ứng dụng Internet đa phương tiện đã tạo nên sức hút khó tin xuyên suốt năm 2005. Thế hệ Web 2.0 chỉ vừa bắt đầu và sẽ phải trải qua cả một chặng đường dài phía trước để có thể thay đổi những gì vốn đã trở nên quen thuộc với mọi ngườ i hiện nay. Đóng vai trò then chốt trong giai đoạn thứ hai của web là tổ hợp công nghệ AJAX. Dù thế giới chưa thực sự sẵn sàng đón nhận, nhiều người cho rằng các ứng dụng AJAX đang phát triển còn nhanh hơn cả định luật Moore - động lực thúc đẩy ngành điện toán gốc. AJAX là gì? AJAX, viết tắt từ Asynchronous JavaScript and XML (JavaScript và XML không đồng bộ), là bộ công cụ cho phép tăng tốc độ ứ ng dụng web bằng cách cắt nhỏ dữ liệu và chỉ hiển thị những gì cần thiết, thay vì tải đi tải lại toàn bộ trang web. AJAX không phải một công nghệ đơn lẻ mà là sự kết hợp một nhóm công nghệ với nhau. Trong đó, HTML và CSS đóng vai hiển thị dữ liệu, mô hình DOM trình bày thông tin động, đối tượng XMLHttpRequest trao đổi dữ liệu không đồng bộ với máy chủ web, còn XML là định dạng chủ y ếu cho dữ liệu truyền. Đây đều là công nghệ sẵn có nhưng Javacript đã lắp ráp chúng lại để thực hiện những "sứ mệnh" đáng khâm phục. Hầu hết các câu chuyện về nguồn gốc của AJAX được bắt đầu từ khi Microsoft phát triển công nghệ Remote Scripting vào năm 1998. Tuy nhiên, phương pháp tải không đồng bộ nội dung trên một trang web đã xuất hiện trong thành tố IFRAME của Internet Explorer 3 (1996) và thành tố LAYER của Netscape 4.0 nă m 1997. Khi giới thiệu Internet Explorer 4.0, Microsoft đã sử dụng mô hình đối tượng tài liệu DOM khác biệt. Đến năm 2000, Netscape hoàn toàn đánh mất thị trường trình duyệt vào tay hãng phần mềm của Bill Gates và thành tố LAYER cũng không còn được các chuyên gia phát triển web chú ý tới. Phải vài năm sau, AJAX mới lại lôi kéo được sự quan tâm của giới công nghệ và trở thành công cụ cải tiến giao diện người dùng cho ứng dụng web. Thuật ngữ này cũng chỉ mới xu ất hiện cách đây 1 năm (tháng 2/2005) trong bài viết nổi tiếng của Jesse James Garrett trên trang Adaptive Path. Từ đó, AJAX trở thành trung tâm trong mọi câu chuyện liên quan đến thế hệ Web 2.0. AJAX hoạt động như thế nào? AJAX là công cụ trọng tâm của Web 2.0. (ECT) Ứng dụng web truyền thống (trái) và ứng dụng AJAX. (Adaptive Path) Từ lâu, mọi người đã tưởng tượng ứng dụng máy tính rồi sẽ được lưu và chạy hoàn toàn trên web thay vì nằm bó buộc trong ổ cứng. Dù vậy, viễn cảnh đó vẫn chưa thể xảy ra do ứng dụng web bị hạn chế bởi nguyên lý rằng tất cả các thao tác phải được thực hiện thông qua HTTP (HyperText Transfer Protocol - Giao thức truyền tải qua siêu liên kết). Những hoạt động của người sử dụng trên trang web sẽ tạo ra một yêu cầu HTTP tới server. Máy chủ thực hiện một số khâu xử lý như lấy lại dữ liệu, tính toán, kiểm tra sự hợp lệ của thông tin, sửa đổi bộ nhớ, sau đó gửi lại một trang HTML hoàn chỉnh tới máy khách. Về mặt kỹ thuật, phương pháp này nghe có vẻ hợp lý nhưng cũng khá b ất tiện và mất thời gian, bởi khi server đang thực hiện vai trò của nó thì người dùng sẽ làm gì? Tất nhiên là chờ đợi. Để khắc phục hạn chế trên, các chuyên gia phát triển giới thiệu hình thức trung gian - cơ chế xử lý AJAX - giữa máy khách và máy chủ. Điều này giống như việc tăng thêm một lớp giữa cho ứng dụng để giảm quá trình "đi lại" của thông tin và giảm thời gian phản ứng. Thay vì t ải lại (refresh) toàn bộ một trang, nó chỉ nạp những thông tin được thay đổi, còn giữ nguyên các phần khác. Vì thế, khi duyệt một trang hỗ trợ AJAX, người sử dụng không bao giờ nhìn thấy một cửa sổ trắng (blank) và biểu tượng đồng hồ cát - dấu hiệu cho thấy máy chủ đang thực hiện nhiệm vụ. Ví dụ, trong một website ảnh, với ứng dụng truyền thống, toàn bộ trang chứa các ảnh sẽ phải mở lại từ đầu nếu có một thay đổi nào đó trên trang. Còn khi áp dụng AJAX, DHTML chỉ thay thế đoạn tiêu đề và phần vừa chỉnh sửa, do vậy tạo nên các giao dịch trơn tru, nhanh chóng.  . từ đầu. Hợi Lê AJAX - sự kết hợp kỳ diệu của công nghệ web 3 / 20 / 20 06 4: 40 : 00 PM Đề tài kỹ thuật vốn luôn khô khan và không mấy thú vị, nhưng những. của Netscape 4 .0 nă m 1997. Khi giới thiệu Internet Explorer 4 .0, Microsoft đã sử dụng mô hình đối tượng tài liệu DOM khác biệt. Đến năm 20 00, Netscape