Đây đều là công nghệ sẵn có nhưng Javacript đã lắp ráp chúng lại để thực hiện nhanh hơn, tốt hơn các yêu cầu của người sử dụng AJAX được cải tiến như thế nào so với các ứng dụng Web truy
Trang 1Vấn đề bảo mật trong ứng dụng Ajax
AJAX là gì?
AJAX, viết tắt từ Asynchronous JavaScript and XML (JavaScript và XML không đồng bộ), là bộ công cụ cho phép tăng tốc độ ứng dụng web bằng cách cắt nhỏ dữ liệu và chỉ hiển thị những gì cần thiết, thay vì tải đi tải lại toàn bộ trang web AJAX không phải một công nghệ đơn lẻ mà là
sự kết hợp một nhóm công nghệ với nhau Trong đó, HTML và CSS đóng vai hiển thị dữ liệu,
mô hình DOM trình bày thông tin động, đối tượng XMLHttpRequest trao đổi dữ liệu không đồng bộ với máy chủ web, còn XML là định dạng chủ yếu cho dữ liệu truyền Đây đều là công nghệ sẵn có nhưng Javacript đã lắp ráp chúng lại để thực hiện nhanh hơn, tốt hơn các yêu cầu của người sử dụng
AJAX được cải tiến như thế nào so với các ứng dụng Web truyền thống?
Đối với ứng dụng Web truyền thống, hoạt động của người sử dụng trên trang web sẽ tạo ra một yêu cầu HTTP tới máy chủ Máy chủ thực hiện một số khâu xử lý như lấy lại dữ liệu, tính toán, kiểm tra sự hợp lệ của thông tin, sửa đổi bộ nhớ, sau đó gửi lại một trang HTML hoàn chỉnh tới máy khách Về mặt kỹ thuật, phương pháp này cũng khá bất tiện và mất thời gian, bởi khi máy chủ đang thực hiện nhiệm vụ của nó thì người dùng chỉ có một việc là chờ đợi.
Để khắc phục hạn chế trên, các chuyên gia phát triển giới thiệu hình thức trung gian - cơ chế xử
lý AJAX (AJAX Engine) - giữa máy khách và máy chủ Điều này giống như việc tăng thêm một lớp giữa cho ứng dụng để giảm quá trình đi lại của thông tin và giảm thời gian phản ứng Mọi thao tác của người sử dụng sẽ gửi lệnh JavaScript tới bộ xử lý AJAX, thay vì tạo ra một yêu cầu HTTP (HTTP request) và truy vấn tới máy chủ Thay vì tải lại (refresh) toàn bộ một trang, nó chỉ nạp những thông tin được thay đổi, còn giữ nguyên các phần khác.
Những vấn đề bảo mật gì tồn tại trong ứng dụng AJAX?
Trong khi AJAX có thể tăng khả năng sử dụng ứng dụng Web với các ưu điểm của mình, nó cũng đồng thời tạo ra nhiều vấn đề về bảo mật ở cả hai phía máy khách (client) và máy chủ (server):
• Tạo nên một diện tấn công lớn hơn trước với nhiều dữ liệu vào (input) cần bảo vệ
• Phơi bày những chức năng ở bên trong của ứng dụng Web
• Cho phép các kịch bản (script) phía máy khách truy xuất đến tài nguyên của bên thứ ba Điều này rất nguy hiểm nếu như không xây dựng một cơ chế bảo mật tốt.
Tăng khả năng bị tấn công
Trang 2Trong khi ứng dụng Web truyền thống được chứa toàn bộ trên máy chủ thì ứng dụng AJAX được mở rộng qua cả hai phía máy khách và máy chủ Việc này đòi hỏi phải bổ sung một mối quan hệ tin cậy giữa máy khách và máy chủ Và mối quan hệ này có thể bị khai thác bởi kẻ tấn công.
Nếu ví một ứng dụng Web truyền thống như là một ngôi nhà chỉ có hai cửa ra vào và không có cửa sổ thì chỉ có hai cách để đi vào nó: bằng cổng trước và bằng cổng sau Tuy nhiên, trong một ứng dụng AJAX, có rất nhiều yêu cầu được gửi đi và sẽ tạo nên rất nhiều input vào ứng dụng Những input này, còn được gọi là AJAX endpoints, cung cấp nhiều cách cho kẻ tấn công xâm nhập ứng dụng cũng như một ngôi nhà dù có khóa hai cửa chính thì vẫn còn rất nhiều cửa sổ không được bảo vệ.
Rò rỉ thông tin
JavaScript trong AJAX nhận yêu cầu của người dùng và thực hiện chức năng gọi đến máy chủ dưới dạng dữ liệu văn bản (cleartext) Ví dụ như:
• Trả về giá của sản phẩm có ID là 24
• Trả về các thành phố chính xác của bang được yêu cầu
• Trả về địa chỉ chính xác gần nhất của người dùng có ID là 78
• Cập nhật tuổi của người dùng trong cơ sở dữ liệu
Những thông tin này được gửi đi dưới dạng cleartext, và hoàn toàn có thể bị khai thác bởi kẻ tấn công Từ những thông tin này, kẻ tấn công có thể biết được tên hàm, tên biến, các thông số của hàm, kiểu trả về, kiểu dữ liệu và phạm vi chính xác của dữ liệu.
Kẻ tấn công xuất hiện trong ứng dụng AJAX
Từ chối yêu cầu và lỗi Cross-Site Scripting (XSS)
Trình duyệt yêu cầu và cơ chế xử lí AJAX gửi đến máy chủ một yêu cầu y hệt Máy chủ không
có khả năng nhận thức rõ ràng rằng yêu cầu là một JavaScipt và sẽ trở nên rất khó để xác định xem chúng có phải là một hành vi đúng đắn hay không.
Điều này cũng có nghĩa là JavaScript có thể thực hiện các yêu cầu cho tài nguyên sử dụng AJAX
mà người dùng không nhận thức được Trình duyệt sẽ tự động thêm những xác thực cần thiết hoặc giữ trạng thái của thông tin như cookie Mã JavaScript có thể truy xuất đến đáp ứng của yêu
Trang 3cầu ẩn này và sau đó gửi đi nhiều yêu cầu hơn Chính sự mở rộng này làm tăng khả năng bị tấn công XSS.
Với AJAX, XSS có thể tạo nên các yêu cầu nguy hiểm đối với người dùng mà không cần tải lại trang Web Những Script độc hại có thể bí mật đọc nội dung của trang Web mà người dùng đang xem Sử dụng AJAX, một tấn công XSS có thể gửi nhiều yêu cầu cho những trang đặc biệt bên cạnh những trang mà người dùng đang xem.
Với ứng dụng Web truyền thống, việc tiêm và phát tán XSS được thực hiện bởi một kẻ tấn công thường là trên một phần duy nhất của Website Với ứng dụng AJAX, XSS có thể được phát tán như một virus XSS có thể sử dụng yêu cầu AJAX để tự tiêm bản thân nó vào trong trang và dễ dàng tiêm lại vào các máy (host) khác với nhiều XSS hơn vì không cần phải tải lại XSS có thể gửi nhiều yêu cầu sử dụng những phương thức HTTP phức tạp để truyền đến người dùng một cách vô hình.
Vào tháng 10 năm 2005, một thành viên của mạng xã hội MySpace.com đã tạo một hồ sơ
(profile) cá nhân có chứa một loại sâu tự động phát tán, sâu Samy, đánh dấu trường hợp tấn công đầu tiên lợi dụng XSS trong AJAX Khi profile được xem bởi người khác, đoạn mã tự động thêm người này vào danh sách “bạn bè” của Samy đồng thời được sao chép đến profile của nạn nhân.
Tháng 6 năm 2006, sâu Yamanner ảnh hưởng đến người dùng dịch vụ web mail của Yahoo (một dịch vụ webmail được dùng rất phổ biến) Sâu này sử dụng XSS và AJAX, khi một email bị nhiễm độc được mở, đoạn mã viết bằng JavaScript sẽ được thực hiện và gửi một bản sao của chính nó đến tất cả các địa chỉ trong sổ địa chỉ của nạn nhân.
Cầu nối AJAX (AJAX Bridging)
Vì mục đích bảo mật, ứng dụng AJAX chỉ có thể kết nối ngược lại với website kết nối đến nó Ví
dụ, JavaScript với AJAX được tải về từ yahoo.com không thể tạo kết nối đến google.com Để cho phép AJAX liên hệ với site của bên thứ ba, một dịch vụ cầu nối AJAX được thiết lập Trong một cầu, một host cung cấp một dịch vụ web đóng vai trò như một trung gian (proxy) để chuyển tiếp lưu lượng giữa JavaScript đang chạy trên máy khách và site của bên thứ ba Một cầu có thể được xem như là một kết nối “Dịch vụ web đến dịch vụ web” Rất nhiều kiểu khung web như là Microsoft Atlas, cung cấp hỗ trợ cho cầu AJAX Các giải pháp khác như PHP hay chương trình CGI cũng cung cấp cầu AJAX.
Một cầu AJAX có thể kết nối bất cứ dịch vụ web nào trên bất cứ host nào sử dụng giao thức như
là SOAP (Simple Object Access Protocol) hay REST (Representational State
Transfer) Cầu cũng có thể kết nối đến các đối tượng khác như RSS, HTML, Flash.
Vấn đề bảo mật của cầu nối
Cầu nối trong AJAX làm phát sinh một số vấn đề bảo mật Ví dụ một ứng dụng AJAX cho phép lưu trữ sách online gọi là spibooks.com muốn truy cập đến một vài dịch vụ Web mà
majorbookstore.com cung cấp như là tìm tên tác giả Để làm điều này, spibooks.com gửi mã JavaScript qua cầu nối AJAX đến majorbookstore.com Mặc dù bất cứ người nào cũng có thể
Trang 4đăng ký một tài khoản miễn phí (free account) để truy cập vào dịch vụ Web của
majorbookstore.com, nhưng các tài khoản này có quyền rất giới hạn và được thiết lập khá chậm Trong khi một sự thỏa thuận giữa hai công ty cho phép spibooks.com có thể truy cập đến
majorbookstore.com ít bị hạn chế hơn.
Trong trường hợp này, một kẻ tấn công muốn copy toàn bộ cơ sở dữ liệu về các tác giả từ
majorbookstore.com có thể thực hiện bằng cách phát ra hàng ngàn truy vấn đến cầu nối AJAX đang chạy trên spibooks.com Do số lượng yêu cầu lớn, majorbookstore.com có thể thực hiện lưu cache các yêu cầu này để làm giảm băng thông mạng Mối quan hệ giữa hai Website cho phép kẻ tấn công thu thập được nhiều thông tin hơn là dùng một tài khoản miễn phí trên trang
majorbookstore.com.
Kẻ tấn công có thể gửi một yêu cầu nguy hiểm từ spibooks.com đến majorbookstore.com Tuy nhiên các giao dịch bình thường có thể bị ngăn cản nếu một hệ thống chống xâm nhập (IPS) tại majorbookstore.com phát hiện ra yêu cầu nguy hiểm đến từ địa chỉ IP của spibooks.com và sau
đó tự động block tất cả yêu cầu đến từ site này Trong trường hợp này, thay vì thực hiện các tấn công XSS đến majorbookstore.com, kẻ tấn công coi như đã thực hiện tấn công từ chối dịch vụ (DoS) chống lại người dùng của spibooks.com!
Cũng có khả năng majorbookstore.com không phát hiện được tấn công qua cầu AJAX vì nó không kiểm tra kỹ yêu cầu nó nhận được từ spibooks.com như khi nó nhận được các yêu cầu từ các nguồn khác do đã có thỏa thuận từ trước.
Các khuyến cáo được đưa ra khi xây dựng một ứng dụng Ajax là gì?
Khi có ý định thay đổi các ứng dụng doanh nghiệp sang nền ứng dụng Web, cần chú ý đến những câu hỏi sau:
• Có nên chuyển đổi các ứng dụng thông thường sang ứng dụng Web?
• Có nên chuyển đổi các ứng dụng Web truyền thống sang ứng dụng AJAX?
• Điều gì sẽ được cải tiến khi thực hiện chuyển đổi?
Nếu quyết định phát triển ứng dụng Web, truyền thống hoặc AJAX, nên chú ý đến những khuyến cáo sau:
• Loại input nào được cho phép bởi ứng dụng
• Đảm bảo rằng tất cả các input được kiểm tra trước khi thực hiện các tiến trình
• Sử dụng phương pháp “white list” hiệu quả hơn là “black list” trong kiểm tra “white list” bao gồm việc đồng ý cho các dữ liệu đã biết là tốt trong khi “black list” sử dụng một danh sách dữ liệu không đươc phép.
• Bổ sung giao thức SSL cho ứng dụng Web
Trang 5• Nếu là ứng dụng AJAX, giảm thiểu các chương trình logic bị phơi bày
Kết luận
Ứng dụng Web ngày nay chiếm một phần rất quan trọng trong việc trao đổi thông tin trên mạng Việc cải tiến các ứng dụng web truyền thống sang các ứng dụng AJAX làm cho nó nhanh hơn, tiện dụng hơn, dễ dàng tương tác hơn cũng kéo theo hệ quả là tăng nguy cơ mất an ninh của ứng dụng Quá trình thực thi Script và thông tin trao đổi trên yêu cầu server/client tăng đem lại cơ hội lớn hơn cho kẻ tấn công phá hoại hoặc ăn cắp dữ liệu Một giải pháp tốt cho vấn đề này là sử dụng các công cụ dò quét, rà soát lỗ hổng của ứng dụng web Từ đó, khắc phục các điểm yếu an ninh tồn tại trên ứng dụng.
Nguyễn Anh Đức
10 điều các chuyên gia CNTT cần biết về Ajax
Bất kỳ một công nghệ Web mới nào cũng sẽ đều ảnh hưởng tới một cơ sở hạ tầng của mạng theo nhiều góc độ khác nhau từ những việc không quan trọng đến làm choáng váng cả thế giới Ajax là một trong các công nghệ mới đang được sử dụng nhiều trên các mạng ngày nay Để giúp các bạn có thể tối thiểu hóa những ngạc nhiên về mạng của mình, chúng tôi phác thảo ra 10 vấn đề cần biết về Ajax
1) Ajax là một ý tưởng, không phải là cụm từ
Ajax tuy đã được giải thích rõ ràng là viết tắt của cụm từ Asynchronous JavaScript and XML nhưng tên đầy đủ này vẫn không hoàn toàn thích hợp vì nó đơn giản hóa quá mức lịch sử của công nghệ cũng như những tùy chọn bổ sung nằm trong chính bản thân nó Chính xác hơn, Ajax bao gồm ý tưởng trong đó các ứng dụng web có thể được xây dựng để chọn trong số vòng lặp “post-wait-repeat” được sử dụng trong các ứng dụng Web trình chủ Ajax cho phép các ứng dụng web chuyển một cách liên tục và mềm dẻo hơn, nhưng việc update lại tăng lên Nó cung cấp cho người dùng một phương pháp phong phú và khả năng tương tác tốt hơn với những gì nằm bên dưới ứng dụng Web Để được thành phần này thì các chuyên gia về mạng càng phải thực hiện nhiều công việc trong kiểm tra và giám sát bảo mật cần thiết cũng như khả năng tiềm ẩn sự biến đổi của mạng và máy chủ
2) Thực sự tất cả theo JavaScript
Các ứng dụng Ajax được viết theo ngôn ngữ JavaScript và thường dựa vào đối tượng XMLHttpRequest
để thực hiện việc truyền thông, cách làm này sẽ tạo ra đường đi của nó thông qua việc xử lý World Wide Web Cũng giống như các công nghệ Web khác, công nghệ Ajax lúc này cũng chỉ là một chuẩn công nghệ đặc biệt, những điểm khác nhau nổi bật có thể phát hiện thấy trong các bổ sung vào các trình duyệt khác nhau của nó Ajax có thể sử dụng các cơ chế truyền tải dữ liệu khác – có hoặc không có sự hỗ trợ rộng rãi trong CNTT – với các ứng dụng Ajax, như frame truyền thống và các phương pháp image-cookie cũng như sử dụng các cầu binary để liên kết với Flash hoặc Java
Trang 6Không quan tâm đến phương pháp truyền tải được sử dụng bởi các chuyên gia phát triển, Ajax đã làm cho JavaScript trở nên quan trọng hơn bên trong một ứng dụng web so với những gì nó làm được trước đây JavaScript lúc này hiện nắm giữ vai trò sưu tập các dữ liệu quan trọng, truyền thông và hoạt động, chính vì vậy nó có thể được coi như một công nghệ web lớp thứ hai không có các tác động nghiêm trọng
Các chuyên gia phát triển phần mềm cho rằng công nghệ JavaScript mang tính độc và muốn né tránh ngôn ngữ này bằng một công cụ hoặc framework tạo nó từ một ngôn ngữ khác như Java (Google Web Toolkit là một ví dụ), hoặc dấu các thành phần code ẩn hoặc các tag (như với Net hoặc Ruby) Mặc dù vậy JavaScript vẫn là một ứng dụng Việc tìm hiểu ứng ngôn ngữ này và nắm được nó một cách trực tiếp
sẽ giúp bạn rất nhiều vì nếu muốn sử dụng Ajax thì bạn sẽ sử dụng đến rất nhiều JavaScript
3) Không cần đến XML
Mặc dù có chữ “X” trong nhóm từ của Ajax nhưng thực sự nó không cần đến XML Đối tượng XMLHttpRequest có thể truyền tải bất kỳ một định dạng văn bản nào Với nhiều chuyên gia phát triển phần mềm Ajax, ký hiệu đối tượng JavaScript (JavaScript Object Notation) hoặc thậm chí các đoạn mã JavaScript thô cũng tạo ra nhiều ý nghĩa như một định dạng dữ liệu, cho rằng JavaScript là môi trường chi phối Với đầu vào trực tiếp trong các tài liệu, các chuyên gia phát triển phần mềm khác có thể sử dụng văn bản thô hoặc các đoạn HTML Vẫn còn một số thành phần khác sử dụng các định dạng dữ liệu như vậy như ngôn ngữ markup YAML ít được biết đến
Rõ ràng hoàn toàn có thể và hợp lý để sử dụng XML, nhưng Ajax vẫn không yêu cầu bắt buộc Sử dụng các định dạng nhị phân cho việc upload các file vẫn không được hỗ trợ bởi đối tượng XMLHttpRequest, nhưng nên cần biết rằng Flash sử dụng một định dạng nhị phân được gọi là Action Message Format, chính vì vậy các tính năng tương tự như vậy sẽ một sớm một chiều có trong các ứng dụng của Ajax Bạn nên biết định dạng nào đang được sử dụng trên mạng vì nó không phải lúc nào cũng là XML, và cũng bảo đảm bạn có thể phân tích định dạng cho vấn đề hiệu suất và bảo mật
4) Kế hoạch cho việc tăng các request HTTP
Vấn đề nổi cộm nhất đối với các quản trị mạng trong việc hỗ trợ các ứng dụng Ajax là mẫu lập trình kiến trúc đã thay đổi vấn đề sử dụng mạng của các ứng dụng web từ việc như xử lý khối, sự phản ứng không liên tục với hàng trăm KB đến sự thay đổi mang tính liên tục trong các đáp trả HTTP nhỏ hơn Điều này
có nghĩa rằng Web và các máy chủ ứng dụng có thể bận rộn hơn trước rất nhiều Những gì Ajax sẽ thực hiện với mạng và máy chủ của bạn phụ thuộc vào cách ứng dụng được thiết kế như thế nào, hãy bảo đảm cho các chuyên gia phát triển ứng dụng hiểu được sự ảnh hưởng của các ứng dụng của họ với mạng như thế nào
5) Tối ưu hóa các yêu cầu Ajax một cách thận trọng
Trang 7Các ứng dụng web nên gắn với trong việc phân phối mạng đó là gửi ít dữ liệu Tuy vậy điều này không có nghĩa rằng nguyên lý này cần phải tuân theo một cách rộng rãi bởi các chuyên gia phát triển phần mềm Một ưu điểm cho mạng, việc nén HTTP cho các đáp trả của Ajax có thể giảm được kích thước và được
hỗ trợ trong nhiều trình duyệt hiện đại Tuy vậy vì overhead của file nén mang tính động nên tốc độ có thể không được cải thiện nhiều nếu các đáp trả tương đối nhỏ Điều này có nghĩa rằng các quản trị viên mạng nên cho phép nén trên máy chủ Web, nhưng họ cần phải hiểu được rằng với các ứng dụng Ajax thì hiệu suất của việc này không lớn bằng các ứng dụng web trước kia
Để gửi dữ liệu ít đi, chúng ta thường sẽ sử dụng đến vấn đề caching Tuy vậy hầu hết các bổ sung của Ajax đều có thể là thù địch của caching với một giả định là các trình duyệt mà không liên quan đến các re-fetching URL trong cùng một session Thay cho làm việc với caching thì nhiều chuyên gia phát triển Ajax lại thủ tiêu caching thông qua thiết lập header hoặc URL đơn nhất
Hoàn toàn có thể nhắm đến các vấn đề caching với Ajax cache ở trình khách được viết bằng JavaScript, nhưng hầu hết các thư viện của Ajax lại không bổ sung tính năng như vậy Các chuyên gia về mạng nên giới thiệu cho các nhà phát triển về lợi ích của caching vì Ajax có thể sẽ mang lại nhiều lợi ích từ vấn đề này hơn nén
6) Thừa nhận về sự hạn chế two-connection
Các ứng dụng Ajax bị hạn chế bởi HTTP đối với hai kết nối đồng thời với cùng một URL Đây chính là cách giao thức HTTP được thiết kế, không bị hạn chế Tuy nhiên có nhiều chuyên gia phát triển phần mềm Ajax vẫn xa lầy vào một máy chủ một cách tình cờ dẫu cho Internet Explorer 8 của Microsoft được
hỗ trợ để thực hiện vượt ra khỏi các hạn chế này Một số ứng dụng không hay của Ajax có thể có vấn đề
và với các trình duyệt đang thay đổi, các quản trị mạng cần phải nắm bắt được số lượng các yêu cầu tạo
ra và làm việc với các chuyên gia phát triển ứng dụng để tránh sử dụng các mẫu thiết kế như poll hoặc các kết nối trợ giúp dài
7) Xem xét đến thứ tự xử lý
Với các ứng dụng web truyền thống, sự ảnh hưởng truyền thông TCP/IP (như việc thiếu thứ tự đáp trả HTTP nào sẽ được nhận) nhìn chung không được chú ý Tài liệu HTML được nhận trước các đối tượng khác và sau đó nó sẽ kích hoạt yêu cầu Bất kỳ một yêu cầu xảy ra sau đều kích hoạt một tài liệu mới hoàn toàn, do đó vẫn bảo đảm được thứ tự Tuy nhiên Ajax lại không hề sử dụng đến việc phân định thứ
tự như vậy chính vì vậy sự phụ thuộc của một ứng dụng theo đúng thứ tự cần đến một hàng đợi xử lý Ajax framework cũng không nhất quán thừa nhận mối quan tâm này Chính vì vậy cần phải bảo đảm cho các chuyên gia phát triển ứng dụng Ajax hiểu được vấn đề này
8) Thừa nhận sự ảnh hưởng của việc loại trừ sửa lỗi "Layer 8"
Trang 8Một vài năm trở lại đây, người dùng đã khắc phục chất lượng trong việc phân phối Web bằng cách reloading các trang hoặc nhất nút Back Đơn giản, người dùng thực hiện như vậy để giúp giảm các vấn
đề về mạng vì lỗi thường xuất hiện tại các thời điểm giữa các page paint Tuy vậy với Ajax, lỗi ứng dụng lại không hiển nhiên như vậy Người dùng thường bị báo sai về các lỗi vì vòng quay GIF động cung cấp quá ít thông tin về trạng thái đúng của yêu cầu
Các chuyên gia phát triển phần mềm là những người thiệt nhiều nhất vì nhiều thư viện không có hiệu quả trong việc thừa nhận các timeouts đó xảy ra, những lần retry phải xuất hiện, máy chủ và các lỗi dữ liệu ngày càng nhiều Các chuẩn đoán JavaScript hiển thị việc truyền thông và các lỗi mã ít khi đúng trên phía trình khách, chính vì vậy mà người dùng thường không hay biết Do đó cần phải có nhiều kiểm tra mức ứng dụng được yêu cầu cho các quản trị viên để hỗ trợ Ajax một cách hợp lý
9) Những mối đe dọa về bảo mật cũ lại xuất hiện lần thứ hai
Nếu bạn lắng nghe các chuyên gia, thì Ajax có thể gây tăng thêm bề mặt tấn công nhưng quả thực nó không kém an toàn hơn các môi trường phát triển ứng dụng web truyền thống nào vì các đầu vào HTTP đến trình chủ tin cậy đều có cùng các header, chuỗi truy vấn và body văn bản Tuy nhiên nếu mã trình khách được tin tưởng hoàn toàn và nhập vào dữ liệu không được ngăn chặn trong nhóm phát triển web thì Ajax có thể gây ra những vấn đề về bảo mật tương tự như các ứng dụng web truyền thống
Cross-site scripting (XSS) không phải là lỗ hổng mới trong Ajax; nó là một lỗi chung, đặc biệt nếu một ứng dụng nào đó cho phép dữ liệu trạng thái được điều chỉnh với JavaScript Đầu vào HTML cần được không cho phép trong hầu hết các trường hợp và HTTP Only Cookies nên được áp dụng ngay lập tức để giảm việc tấn công cookie và các tấn công khác thông qua XSS
Cũng vậy Cross Site Request Forgery cũng không phải là một lỗi mới của Ajax, nhưng nếu các chuyên gia phát triển ứng dụng của bạn không kiểm tra HTTP Referer (sic) header và quản lý session đúng cách bên trong các ứng dụng Ajax thì có thể để hổng vấn đề này
Các Hacker, cũng giống như các chuyên gia phát triển phần mềm hiện đang rất quan tâm đến việc sử dụng và lạm dụng JavaScript, điều đó càng làm tăng thêm các lỗ hổng tiềm tàng Các chuyên gia về mạng nên bảo đảm cho chuyên gia phần mềm biết được rằng mã trình khách có thể bị thay đổi, vì vậy các dữ liệu đầu vào luôn cần được lọc và xem xét
10) Vấn đề về chính sách cùng gốc
Một mặt “positive” (mang tính ưu điểm) về bảo mật, các chính sách cùng gốc của JavaScript sẽ vẫn có hiệu lực trong ứng dụng Ajax sử dụng XMLHttpRequest Chính sách này bảo đảm cho các kịch bản đó không liên kết với các miền bên ngoài Từ quan điểm của các chuyên gia phát triển phần mềm, điều này
Trang 9có thể khá bực mình vì nó có nghĩa rằng các trang đó được đáp ứng, ví dụ là từ ajaxref.com lại không thể liên kết với URL được host trên www.ajaxref.com; thậm chí nếu nó nằm trên cùng một máy chủ thì cũng không cùng chính xác miền DNS tương đương không có vấn đề ở đây; nó là một string-check được sử dụng bởi SOP
SOP sẽ làm vướng khả năng của các chuyên gia phát triển trong việc thực hiện một số cố gắng cho dịch
vụ Web trên phía trình khách Rõ ràng phương pháp tốt nhất là sử dụng proxy trên máy chủ để đưa ra các yêu cầu đến máy chủ khác và kết hợp các kết quả Tuy vậy, nhiều chuyên gia phát triển phần mềm Ajax lại cố gắng ngắt các hạn chế cùng gốc
Theo: quantrimang.com