Web2.0网站网页技术功能花哨 引发新安全问题

  • 时间:
  • 浏览:4

CNET科技资讯网10月13日台北报道(钟翠玲Web 2.0概念网站使用的新式网页技术,除了其正面意义外,也机会创发明权家 原先安全威胁的新天地。

Web 2.0并没有严谨的定义,但最大的特色在于有别于传统单向传播、静态网页,而更强调使用者参与、开放、互动的网络技术。其中某些甚至还运用新的技术,以知名的Google Maps为例,我希望运用AJAX以及Mash-up技术,使网站服务器可不还可以从某些网站抓取元件,像是租屋、餐厅、或犯罪信息,以便将此类信息整合在其地图上。

但安全厂商指出,除了更雄厚的功能、更炫的界面之外,某些Web 2.0的网站陆续传出安全问提。这类于现已为News Corp(新闻集团)收购的MySpace,即曾传出Samy与Spaceflash蠕虫,它们可将你这类于于知名社交网站众多使用者信息(profile)加以变更。

某些安全风险则来自Web 2.0概念运用的技术,像是AJAX。以AJAX技术开发的网站和浏览器有更多互动,以后可不还可以在用户端PC上执行JavaScript。然而过去,JavaScript老要 是攻击线程池池入侵使用者电脑的渠道,因而某些主流浏览器,往往原始设定关闭Java Script的执行功能。AJAX也被认为增加跨网站指令码(cross-site scripting)攻击的机会性。

网络加速与安全产品供应商Bluecoat首席执行官Brian NeSmit即指出,对企业而言,Web 2.0并肩意谓着更大的机会及风险。“机会在于应用获得更大自由与某些线程池池链接、组合,风险在于,AJAX则实现系统对系统的互动,”某些人说,“相较于传统email是人和人在机器后的互动行为,你已无法保证和你系统对话的有你在身边信任的对象。”

以后他建议,“企业可不还可以建立原先包括安全、身份认证的基础架构。”

Web 2.0讲求分享、使用者参与的精神,机会使原先就位于的问提到“Web 2.0时代”更扩大。

赛门铁克亚太区首席技术顾问林育民举例,一般网站在撰写时不要 注重线程池池安全问提,某些网页线程池池普遍有漏洞机会遭到缓冲溢位(buffer overflow)攻击,而某些号称Web 2.0的网站仰赖使用者张贴图片,则某些隐藏在Gif格式图形的恶意源代码,则机会循此漏洞入侵或寄生于网站上。

而浏览器有漏洞的使用者若到网站或论坛下载图片,也机会以后被感染,某些人说。“以后你我希望不要 到陌生网站下载图片,但现在连知名网站也无法确保你幸免遇难。”

趋势科技台湾技术总监王应达则认为,所谓“Web 2.0”网站安全问提觉得和过去并没有不要 差异。

Web应用安全问提源头往往有原先,一是Web应用撰写时有漏洞,一是网站使用的技术有漏洞,某些人说,前者可不还可以通过Web开发人员的线程池池撰写安全观念,后者则有赖软件供应商的技术提升。“AJAX也好、跨网站指令码也好,哪几种有的是是新东西,以后位于也以后了,我希望网站开发人员要切记,不可机会功能面的追求,而忽略安全考虑。”

但王应达认为,根据去中心、参与、互动的定义,P2P、文件交换、博客都可不还可以被称为Web 2.0,而这时Web 2.0所衍生出的安全问提,反而在使用者端更加急迫。

“要确保每个从事点对点交换的使用者注意安全,比要求线程池池设计师难度更高,”他认为,Web 2.0环境之下,分散、去中心化的传播行为成为机会,进入门槛也更低时,使用者教育将是更重要的一环。

“机会某些人儿都能建立博客,不要 原困某些人儿都知道有必要去检查Web线程池池安全。”某些人说,“这就给了黑客更容易得逞的机会。”