XML安全廠商ForumSystems公司上月在安全問(wèn)題上提出了一個(gè)警告，他認(rèn)為，隨著越來(lái)越多的Ajax風(fēng)格的應(yīng)用出現(xiàn)，很多組織需要考慮潛在的安全缺陷以及性能問(wèn)題。

　　位于鹽湖城的ForumSystems公司的市場(chǎng)副總裁WalidNegm說(shuō):“我們并非在制造警告。我們只是感到需要讓人們考慮安全和可擴(kuò)展性需求。我們始終在關(guān)注使用XML的技術(shù)。這是我們份內(nèi)的事。”

　　Ajax是AsynchronousJavaScriptandXML的縮寫(xiě)。它通過(guò)創(chuàng)建富網(wǎng)絡(luò)應(yīng)用來(lái)加強(qiáng)用戶(hù)體驗(yàn)。根據(jù)Forum的看法，通過(guò)使用與Web服務(wù)互操作的更具有交互性的頁(yè)面，Ajax增加了XML、文本和HTML的網(wǎng)絡(luò)通信量。但這家公司認(rèn)為由于依賴(lài)XML作為請(qǐng)求/相應(yīng)的內(nèi)容類(lèi)型，負(fù)載成為了Web服務(wù)的弱點(diǎn)。該公司還指出，通過(guò)把用戶(hù)的Web瀏覽器轉(zhuǎn)換成Web服務(wù)門(mén)戶(hù)，Ajax通信模型增加了瀏覽器處理的可靠性。

　　Forum公司嘗試對(duì)XML內(nèi)容過(guò)濾、Web服務(wù)安全以及XML提速功能進(jìn)行改進(jìn)。

　　Negm指出了一些潛在的問(wèn)題。他說(shuō)，首先是惡意的用戶(hù)可能會(huì)發(fā)送臟數(shù)據(jù)，尤其是創(chuàng)建攻擊性的客戶(hù)端。另一個(gè)問(wèn)題就是未授權(quán)的用戶(hù)訪問(wèn)。在Ajax應(yīng)用程序中，如果沒(méi)有服務(wù)器端保護(hù)的話，一個(gè)為授權(quán)的用戶(hù)可以迅速提高自己的級(jí)別。

　　最大的威脅是不良形式的數(shù)據(jù)。他說(shuō):“由于使用了異步代碼。拒絕服務(wù)很容易發(fā)生。一種潛在的結(jié)果就是服務(wù)器資源耗盡，或者因?yàn)榫芙^服務(wù)而引起服務(wù)器宕機(jī)。”

　　Negm說(shuō):“Ajax具有一些Web應(yīng)用的安全問(wèn)題，除非你在服務(wù)器端安裝應(yīng)用防火墻，才能得到保護(hù)。”

　　他說(shuō):“盡管性能是一個(gè)大問(wèn)題，但你還需要考慮數(shù)據(jù)如何影響性能的。Ajax使你能夠更好的驗(yàn)證數(shù)據(jù)，但你不得不要處理附加的驗(yàn)證需求，而這也是讓服務(wù)器頭疼的事。”

　　被問(wèn)到提出警告是不是有點(diǎn)自私時(shí)，Negm回答道:“是存在這個(gè)問(wèn)題，但不提出的話風(fēng)險(xiǎn)更大。我們對(duì)我們的安全紀(jì)錄很滿意。在警告背后的細(xì)節(jié)很有必要值得探討。盡管不是很急，但我們正在讓開(kāi)發(fā)人員對(duì)此進(jìn)行研究。”

　　位于馬薩諸塞州Waltham的ZapThink公司的高級(jí)分析師JasonBloomberg說(shuō):“Ajax帶來(lái)的安全問(wèn)題是簡(jiǎn)單的網(wǎng)頁(yè)無(wú)法面對(duì)的，讓人們明白這一點(diǎn)非常有必要。Forum公司已經(jīng)開(kāi)始關(guān)注這個(gè)威脅，所以發(fā)出警告是很自然的。”

　　AdaptivePath公司是舊金山一家有用戶(hù)體驗(yàn)的咨詢(xún)公司。負(fù)責(zé)用戶(hù)體驗(yàn)戰(zhàn)略的主管JesseJamesGarrett說(shuō):“某種程度上，Ajax應(yīng)用把業(yè)務(wù)邏輯從服務(wù)器端搬到了客戶(hù)端，于是業(yè)務(wù)邏輯就被暴露出來(lái)。根據(jù)應(yīng)用的不同，這種做法增加了潛在的安全風(fēng)險(xiǎn)。”

　　Garrett說(shuō):“下一個(gè)問(wèn)題是數(shù)據(jù)安全。Ajax應(yīng)用能依靠Web底層的加密層來(lái)加密那些進(jìn)行數(shù)據(jù)通信的XML文檔。”

　　Garrett說(shuō):“此外，Ajax還有一個(gè)問(wèn)題。我們做的就是降低服務(wù)器通訊中的用戶(hù)交互。現(xiàn)在，服務(wù)器通訊對(duì)于用戶(hù)已經(jīng)完全不可見(jiàn)，因此，你可以在用戶(hù)不差覺(jué)得情況下傳送數(shù)據(jù)。這是一個(gè)很大的風(fēng)險(xiǎn)。”

　　DionAlmaer是Ajax社區(qū)Ajaxian.com的創(chuàng)始人之一，他認(rèn)為Ajax中沒(méi)有什么是不安全的，但還是有一些問(wèn)題。

　　他說(shuō):“開(kāi)發(fā)人員必須想清楚他們?cè)谧鍪裁础Ｄ憧梢蚤_(kāi)發(fā)一個(gè)非常豐富的Ajax應(yīng)用程序，這需要從瀏覽器向客戶(hù)端傳送數(shù)據(jù)。你需要讓對(duì)服務(wù)器的訪問(wèn)變得安全，就和使用桌面技術(shù)時(shí)一樣。舉個(gè)例子，你不想讓你的Ajax應(yīng)用能發(fā)送任何SQL到后臺(tái)的服務(wù)器并運(yùn)行它。黑客能利用它并手動(dòng)發(fā)送有害的請(qǐng)求。另外，不要對(duì)任何東西都進(jìn)行eval()操作，還要對(duì)XSS探測(cè)保持警惕。”

　　Almaer說(shuō):“底線是讓你的服務(wù)器端盡可能安全。這樣對(duì)你才有好處。”

　　Garrett對(duì)此回應(yīng)到:“開(kāi)發(fā)和部署任何應(yīng)用最重要的是優(yōu)秀的規(guī)劃。開(kāi)發(fā)Ajax有一定的復(fù)雜性，這也讓開(kāi)發(fā)團(tuán)隊(duì)在做選擇時(shí)要多考慮一些。”