Các ứng dụng AJAX xuất hiện ngày một nhiều đồng nghĩa với việc doanh nghiệp và người sử dụng phải đương đầu với những nguy cơ bảo mật mới. Tuy nhiên, các chuyên gia phát triển có vẻ không nhận thức đầy đủ về mối hiểm họa này.
“Thông thường, tấn công một ứng dụng qua lớp web dễ hơn nhiều so với việc cố xuyên qua tường lửa hoặc tìm đường vòng tránh các hệ thống chống xâm nhập”, Billy Hoffman, Trưởng nhóm nghiên cứu thuộc công ty bảo mật Spi Dynamics (Mỹ), cho hay.
Nguồn: digital-advocate |
Tuy nhiên, dịch vụ e-mail hỗ trợ tổ hợp công nghệ này của Yahoo đã gặp lỗi bảo mật nghiêm trọng hồi hè năm ngoái. Kẻ tấn công đã phát tán một thông điệp chứa mã độc để truy cập e-mail của nạn nhân, tải danh sách địa chủ và gửi thư rác từ chính tài khoản bị đột nhập.
Mối nguy hiểm dạng này còn được gọi là XSS (cross-site scripting) do chúng có thể mở rộng ra một vài dịch vụ khác. XSS đang nhanh chóng trở thành hình thức tấn công trực tuyến phổ biến nhất đối với hacker. Salesforce.com, PayPal và Google đều đã phải sửa lỗi bảo mật XSS trong các phần mềm của họ.
Trong khi đó, giới phát triển web thường không chú ý đến việc bảo mật các đoạn mã do họ thường là chuyên gia thiết kế đồ họa, còn các chuyên gia phần mềm tạo mã cho web lại hay tỏ ra chủ quan. Hơn nữa, rất nhiều chương trình hướng dẫn sử dụng AJAX chứa đầy lỗi cơ bản mà các nhà phát triển web không hề hay biết.