WED 2.0
1.Thách thức khi sử dụng web 2.0
Công nghệ web 2.0 đã được đưa ra lần đầu tiên tại hội thảo Web 2.0 lần thứ nhất do OReilly Media và MediaLive International tổ chức vào tháng 10/2004. Sau đó Tim OReilly, chủ tịch kiêm giám đốc điều hành OReilly Media, đã đúc kết lại 7 đặc tính của Web 2.0:
Web có vai trò nền tảng, có thể chạy mọi ứng dụng Tập hợp trí tuệ cộng đồng
Dữ liệu có vai trò then chốt
Phần mềm được cung cấp ở dạng dịch vụ web và được cập nhật không ngừng Phát triển ứng dụng dễ dàng và nhanh chóng
Phần mềm có thể chạy trên nhiều thiết bị Giao diện ứng dụng phong phú
Từ những đặc tính đó ta thấy ứng dụng của nó đối với người dùng, thuận tiện trong việc tìm kiếm, thu thập cũng như trao đổi thông tin hay nêu ra ý kiến của mình. Web 2.0 phù hợp với nhu cầu thực tế của cư dân mạng, nhưng cũng vì thế mà hiểm họa bảo mật cũng tăng nhanh.Trong một bài báo cáo, Forum đã chỉ ra những hiểm họa bảo mật hàng đầu với Web 2.0 bao gồm:
Insufficient Authentication Controls (Kiểm soát xác nhận không đầy đủ)
Trong rất nhiều ứng dụng Web 2.0, nội dung được đặt dưới quyền của rất nhiều người chứ không phải chỉ một nhóm có thẩm quyền được chọn lựa. Điều đó có nghĩa là một người sử dụng thiếu kinh nghiệm rất có thể sẽ gây ra sự thay đổi làm ảnh hưởng tiêu cực đến toàn bộ hệ thống .
Sự thay đổi trong thiết kế của hệ thống có thể bị khai thác bởi hacker, nay đã có thể tiếp cận nhiều tài khoản “quản trị” hơn do mật khẩu có thể dễ dàng bị đánh cắp nếu không có những kiểm soát bảo mật đúng đắn. Hệ thống cũng có thể không có những kiểm soát cưỡng chế đầy đủ, cho phép đăng nhập với mật khẩu trống, hoặc bị gắn với nhau bởi môi trường đăng nhập một lần (single-sign- on environment), khiến cho việc tấn công trở nên dễ dàng hơn rất nhiều.
Cross Site Scripting (XSS)
Cross-site Scripting (XSS) là lỗ hổng cho phép hacker có thể chènnhững đoạn mã client-script( thường là Javascript hoặc HTML) vào trang web, khi người dùng vào những trang web này mã độc sẽ được thực thi trên máy của người dùng.
Trong một lỗi XSS lưu giữ, input (dữ liệu nhập vào) độc hại được gửi bởi kẻ tấn công được lưu giữ trong hệ thống sau đó hiển thị với những người sử dụng khác. Những hệ thống cho phép người sử dụng nhập nội dung có định dạng như HTML (điển hình là log, mạng xã hội và wiki) đặcbiệt nhạy cảm với tấn công dạng này. Ví dụ một vụ tấn công dạng này đó là vụ khai thác lỗi XSS của Yahoo HotJobs, khi hacker lợi dụng JavaScript để đánh cắp session cookie của nạn nhân.
Cross Site Request Forgery (Giả mạo Request Cross Site – CSRF) CSRF là kỹ thuật tấn công bằng cách sử dụng quyền chứng thực của người sử dụng đối với 1 website khác. Các ứng dụng web hoạt động theo cơ chế nhận các câu lệnh HTTPtừ người sử dụng, sau đó thực thi các câu lệnh này.
Trong các lỗi CSRF, nạn nhân ghé thăm những trang có vẻ như rất an toàn nhưng thực chất chứa mã độc có thể sinh ra request đến một trang khác. Do sử dụng quá nhiều AJAX, các ứng dụng Web 2.0 dễ bị tấn công bởi hình thức này.
Trong các ứng dụng kế thừa, hầu hết các request bởi người sử dụng tạo ra một hiệu ứng trực giác trên màn hình, khiến CSRF dễ dàng triển khai hơn.Với những hệ thống Web 2.0 thiếu phản hồi trực giác, dạng tấn công này cũng khó nhận ra hơn.
Phishing
Phishinglà việc xây dựng những hệ thống lừa đảo nhằm đánh cắp các thông tin nhạy cảm, như tên đăng nhập, mật khẩu hay thông tin về các loại thẻ tín dụng của người dùng.
Mặc dù phishing không chỉ là nguy cơ đối với công nghệ Web 2.0, việc có quá nhiều phần mềm ứng dụng cùng tồn tại khiến cho khách hàng rất khó để phân biệt đâu là thật đâu là giả.Điều đó khiến cho lừa đảo phishing trở nên hiệu quả hơn.
Information Leakage (Rò rỉ thông tin)
Một nghiờn cứu ở Anh cho biết cú ắ doanh nghiệp ở nước này bị cấm sử dụng các dịch vụ tin nhắn thức thời như AIM, Win-dows Live Messenger và Yahoo Messenger. Nguyên nhân chính là do sự rò rỉ thông tin mật của doanh nghiệp.
Web 2.0 cùng với lối sống “làm việc từ bất cứ nơi nào” đã bắt đầu làm mờ khoảng cách giữa công việc và cuộc sống riêng tư. Chính bởi sự chuyển đổi tâm lý này, chúng ta có thể vô tình chia sẻ những thông tin mà nhà tuyển dụng cho là nhạy cảm. Ngay cả khi các cá nhân không để lộ những tin tương đương với “bí
mật kinh doanh” thì nhiều tin tức “không nhạy cảm” cũng có thể cho phép các đối thủ cạnh tranh hiểu được phần nào những gì đang diễn ra ở công ty bạn.
Injection Flaws (Các khe hở dễ bị xâm nhập)
Công nghệ Web 2.0 có xu hướng dễ bị xâm hại bởi các cuộc tấn công xâm nhập bao gồm XML Injection, XPath Injection, JavaScript Injection, và JSON Injection không vì lý do nào khác ngoài sự thật là các ứng dụng Web 2.0 thường sử dụng và phụ thuộc vào những công nghệ này. Càng được sử dụng nhiều, lỗi này càng trở nên nguy hiểm. Thêm vào đó, do các ứng dụng Web 2.0 thường phụ thuộc vào client-side code, chúng thường xuyên thực hiện quá trình xác nhận dữ liệu nhập vào mà kẻ tấn công có thể vượt qua.
Information Integrity (Tính nguyên vẹn thông tin)
Tính nguyên vẹn của dữ liệu là mộ trong những thành phần chính của việc bảo mật dữ liệu.Tuy vậy một cuộc tấn công có thể phá hủy tính nguyên vẹn này cũng như vô tình khiến thông tin bị hiểu sai.Ví dụ điển hình trong trường hợp này là một lỗi sai trong Wikipedia nhưng lại được chấp nhận là đúng bởi rất nhiều người đến thăm trang.Trong môi trường kinh doanh, hệ thống mở đối với nhiều người sử dụng có thể khiến những thông tin lệch lạc được đưa lên vô tình hay cố ý bởi một vài người sử dụng, phá hủy tính nguyên vẹn của dữ liệu.
• Insufficient Anti-automation (Chống tự động hóa không đầy đủ)
Giao diện theo quy trình của các ứng dụng Web 2.0 cho phép hacker tự động hóa các cuộc tấn công dễ dàng hơn. Cùng với tấn công CSRF và tấn công cưỡng chế, các ví dụ khác bao gồm việc tự động thu hồi khối lượng lớn thông tin và tự động tạo tài khoản. Hệ thống chống tự động hóa như Captchas có thể giúp làm chậm lại hoặc cản trở tấn công dạng này.
Khi giới thiệu Web 2.0 vào môi trường làm việc, việc hết sức quan trọng là phải hiểu rõ những hình thức rủi ro có thể xảy ra. Và những công nghệ Web 2.0 có thể mang đến cho kinh doanh khiến cho việc nỗ lực vượt qua những nguy hiểm tiềm tang trở nên có giá trị.
2.Chuyển đổi từ wed 1.0 sang 2.0
Thách thức của chính phủ trong thời kỳ Web 2.0 là làm thế nào để khai thác ưu thế này một cách hiệu quả và tiến hóa đến tri thức của cộng đồng. Thách thức
này không chỉ hạn chế trong thời kỳ công nghệ, nó bao gồm cấu trúc tổ chức và xã hội. Điều quan trọng ở đây là thiết kế khung và những quá trình để tạo mối quan hệ với người dân một cách cẩn thận, để tăng cường đội tin cậy của người dân và sự tham gia của họ.
Một trong những trao đổi có ý nghĩa nhất của Web 2.0 là người sử dụng trở thành người tạo nội dung. Người sử dụng tạo tags và tổ chức thông tin theo cách riêng, có thể sử dụng tất cả các ứng dụng của họ để tạo thông tin mới. Ngược lại với các website công đồng để tạo danh mục và giám sát nội dung bởi một quản trị website trong Web 1.0, trên Web 2.0 nội dung được tạo và tham sát theo thiết lập ngang hàng (peer-to-peer P2P) thiết lập bởi người sử dụng Internet. Điều này cung cấp người sử dụng Internet việc giám sát nội dung lớn hơn và tự do hơn trong việc trình bày quan điểm và yêu cầu của mình. Do đó, nền tảng Web 2.0 có ảnh hưởng về tạo nội dung, sở hữu và phân bố thiết lập trực tuyến.
Nền tảng Web 2.0 tập trung vào những người sử dụng riêng và mạng lưới của họ, không như Web 1.0 tập trung vào vào các website cá nhân. Bây giờ, những cá nhân tạo blogs cá nhân, podcasts, video-blogs, có thể liên kết và hoạt động với người sử dụng khác. Họ tổ chức và tìm kiếm nội dụng sử dụng từ khóa
(“folksonomy” hoặc social bookmarking), họ kết nối với máy PC của nhau và chuyển đổi nội dung và file. Các cá nhân cũng hợp tác để tạo sản phẩm và dịch vụ truyến, và tạo mashups kết hợp dữ liệu và ứng dụng để cung cấp thông tin mới.
Nền tảng Web 2.0 biến đổi môi trường trực tuyến đối với lấy người sử dụng làm trung tâm đến cá nhân. Từ quan điểm chính phủ điều này có nghĩa là các cơ quan phải thu hút người dân và những khách đến thăm trang để đưa ra yêu cầu của họ.
Để thu hút người dân trong cộng đồng trực tuyến, chính phủ cần tăng cường phạm vi và cung cấp nội dung và dịch vụ. Để thu được điều này bằng cách hiệu quả về chi phí, các cơ quan phải dựa vào những người trung gian, có thể là người dân hoặc doanh nghiệp tạo ra nội dung, mashups và các ứng dụng để cung cấp dịch vụ đến những người dân khác. Sử dụng những người trung gian sẽ cho phép chính phủ cung cấp các dịch vụ có thể thay đổi đối với người dân của họ ở mức chi phí thấp hơn giám sát các dịch vụ hiện tại theo cách tập trung. Tuy nhiên, chính phủ phải giám sát phân bố dịch vụ đến người dân và khách hàng qua những người
trung gian vì có ý nghĩa rõ ràng về chất lượng dịch vụ. Ưu tiên cho những mâu thuẫn với những người trung gian có ở đây, mà có ảnh hưởng tiêu cực về sức mạnh của chính phủ đối với sử dụng quyền lực.
Ý nghĩa của các ứng dụng Web 2.0 yêu cầu một môi trường mới về văn hóa hợp tác trong chính phủ và tổ chức, cách mới về các công việc thiết kế và quản lý con người. Và quan trọng hơn, có một khung phù hợp yêu cầu sử dụng Web 2.0 theo cách tối ưu.
3. Việc sử dụng wed 2.0 trong chính phủ .
Việc sử dụng Web 2.0 trong chính phủ được chia thành ba loại:
- Tập trung vào truyền thông: thông tin của chính phủ được truyền bá đến người dân càng xa và rộng thì càng tốt. Nhóm người dân thu được tri thức về nội dung, có thể dễ dàng truy cập đến thông tin ở bất cứ đâu và chính phủ có thể khuyến khích chiến dịch quốc tế với chi phí hiệu quả.
Mục đích chính của việc sử dụng là tăng nội dung mà chính phủ đưa vào các công cụ mạng xã hội, như blogs, podcasts và vlogs, RSS, wikis, và các mạng xã hội trong doanh nghiệp. Sử dụng tập trung vào truyền thông được xem là cách dễ nhất để thực hiện, đối với những tổ chức bắt đầu kinh nghiệm với những việc thực hiện trước đó với bất kỳ ứng dụng nào khác.
Tuy nhiên, truyền đạt đối với sử dụng chất lượng đảm bảo đi kèm với khu vực công và những gì cần để chính phủxây dựng mối quan hệ với người dân.
Chính phủ phải thiết lập một quy tắc rõ ràng cho việc tham gia vào blogging và wikies để không vi phạm luật chứng thực.
Web 2.0 cho phép bên thứ ba tải và kiết xuất nội dung từ tài nguyên chính phủ và đưa thông tin đến người dân. Điều quan trọng là chính phủ cho phép thông tin được truyền bá rộng rãi hơn đến người dân qua các phương tiện khác nhau, nhưng họ phải đảm bảo xác thực thông tin chính phủ được cung cấp ở website của bên thứ ba.
- Tập trung vào tương tác: tương tác với người dân để có phản hồi của họ về chính trị, các vấn đề, dịch vụ và kế hoạch của chính phủ, để có lợi trong việc tạo nội dung mới và làm cho người sử dụng phương tiện trung gian để tạo mashups nội
dung có lợi cho những người khác. Sử dụng tập trung vào tương tác là khó hơn được thực hiện để so sánh với sử dụng tập trung vào giao tiếp, vì khó để xác thực nội dung được tạo bởi người sử dụng trước khi trộn với nội dung mới.
- Tập trung vào dịch vụ: sử dụng mạng xã hội quan trong bao nhiêu, khó thực hiện để thành công bấy nhiêu. Mạng xã hội yêu cầu chính phủ giám sát để cung cấp giá trị đến người sử dụng. Phương tiện trung gian có thể tích hợp vào nội dung không của chính phủ với nội dụng của chính phủ và tạo những sản phẩm thông tin mới để gia tăng giá trị thông tin chính phủ. Chính phủ phải tin cậy và xác thực các phương tiện trung gian để tạo các dịch vụ và cung cấp giá trị phù hợp với người dân. Trong khi sử dụng các phương tiện trung gian có thể thay đổi dịch vụ ở chi phí thấp nhất, chính phủ phải đảm bảo tính đồng nhất và công bằng về chất lượng dịch vụ cho tất cả mọi người.
Mức thu hút chính phủ với người dân gia tăng từ mức đầu tiên về sử dụng tập trung vào giao tiếp sử dụng đến sử dụng tập trung vào dịch vụ. Nó được biểu diễn bởi một tháp trong hình sau:
Khung sử dụng Web 2.0 trong chính phủ. Mức tham gia của người dân được biểu diễn tăng liên quan đến việc giảm cỡ nhóm trong hình tam giác. Ba loại sử dụng được mô tả riêng rẽ