Ứng dụng Web và những thách thức về bảo mật

Đi tiên phong trong lĩnh vực còn khá mới mẻ này chính là Microsoft với gói dịch vụ phần mềm ứng dụng Microsoft Office Live và Google với bộ phần mềm văn phòng vừa mới ra mắt cộng đồng Internet. Tuy nhiên, ứng dụng trực tuyến nói chung vẫn trượt theo vết xe đổ của các ứng dụng trên máy tính để bàn. Tức là, các ứng dụng web giờ đây đã bắt đầu phải đối mặt với các vấn đề bảo mật nghiêm trọng.

Chỉ trong vòng một tuần (28/8 - 3/9), SANS Institute đã phát hiện tổng cộng hơn 60 lỗi bảo mật mới trong các ứng dụng trực tuyến. Con số này gấp 30 lần số lượng các lỗi bảo mật trong hệ điều hành Windows, Mac OS X và trình duyệt Internet Explorer, gấp 20 số lỗi trong Linux (3 lỗi), gấp hơn 6 lần số lỗi trong các ứng dụng Windows (9 lỗi) và hơn 3 lần số lỗi trong các ứng dụng tương thích đa hệ điều hành (16 lỗi) được phát hiện trong khoảng thời gian tương tự.

Công nghệ mới và những vấn đề mới...

Ông Douglas Merrill - Phó chủ tịch phụ trách vấn đề kỹ thuật của Google - thừa nhận, phương pháp lập trình ứng dụng web hiện nay chưa được hoàn thiện như các phương pháp lập trình ứng dụng trên máy tính để bàn. Công nghệ mới thường đồng nghĩa với những vấn đề phát sinh mới.

Vị phó chủ tịch của Google cho rằng, SANS Institute lấy số lượng các lỗi bảo mật để so sánh tính bảo mật giữa ứng dụng web và ứng dụng trên máy tính để bàn là một so sánh không tương xứng, bởi vì SANS Institute không hề xét đến yếu tố các ứng dụng đó đã xuất hiện được bao nhiêu lâu. Số lượng các lỗi bảo mật tồn tại trong ứng dụng sẽ giảm đi theo thời gian.

Ông Merrill cũng khẳng định, Google rất chú trọng đến vấn đề bảo mật vừa để bảo vệ người dùng vừa để bảo vệ sở hữu trí tuệ và chính bản thân hãng. Google không chỉ thành lập một nhóm chuyên trách kiểm tra lỗi mã nguồn phần mềm mà còn đào tạo cho các kỹ sư lập trình phương pháp phát hiện các vấn đề bảo mật và lập trình an toàn, cách thức sử dụng các thư viện lập trình phổ biến nhằm tránh lặp lại những vấn đề bảo mật thường thấy. Điều này đồng nghĩa với việc mã nguồn ứng dụng của Google được kiểm tra qua nhiều cấp và nhiều giai đoạn khác nhau. "Mọi nhân viên của Google đều phải có trách nhiệm phát triển các sản phẩm an toàn với mục tiêu tất cả vì người dùng. Cung cấp những sản phẩm an toàn là chứng tỏ bạn tôn trọng khách hàng của bạn".

Không chỉ có Google mà Microsoft kể từ năm 2002 đến nay đã tập trung đáng kể các nguồn lực và nỗ lực nhằm nâng cao tính bảo mật của các ứng dụng web. Gần đây Microsoft đã liên tục thuê, tuyển dụng hoặc mua đứt các nguồn lực bảo mật. Mới đầu tháng 8 vừa qua, Microsoft đã chiêu mộ được chuyên gia nghiên cứu virus Vincent Gullotto từ hãng bảo mật McAfee. Hiện Gullotto đã trở thành Giám đốc điều hành nhóm nghiên cứu và phản ứng với các vấn đề bảo mật của Microsoft.

Giới kinh doanh cũng quan tâm đến vấn đề bảo mật không hề kém các hãng bảo mật. Giám đốc phụ trách sản phẩm DN của Google, ông Matt Glotzbach, khẳng định, nhân viên của ông cũng thường xuyên trao đổi với khách hàng về các vấn đề bảo mật. Trong giới lãnh đạo cao cấp của Google có một thông điệp rất rõ ràng: "Bảo mật ứng dụng web và bảo mật ứng dụng trên máy tính để bàn phải được coi trọng như nhau".

Brad Friedman - Phó chủ tịch phụ trách các vấn đề CNTT của hãng bán lẻ Burlington Coat Factory - cũng cho rằng, vấn đề bảo mật trong các ứng dụng web và trong ứng dụng trên máy tính để bàn phải như nhau cho dù mỗi loại ứng dụng yêu cầu những phương pháp giảm nhẹ nguy cơ khác nhau. "Ví như tôi không thể xem trọng ứng dụng web Google Writely hơn Microsoft Word hoặc ngược lại. Vấn đề mấu chốt ở đây là cả hai ứng dụng nói trên đều phải ứng dụng những mức độ bảo mật nhằm bảo vệ nó trước những vụ tấn công," ông Friedman nhận định.

Bảo mật cấp độ DN là lớp bảo mật tiếp theo bảo mật trên máy tính để bàn. Tình thế cũng diễn ra hoàn toàn tương tự với các ứng dụng web. Điểm khác nhau duy nhất là ở quy mô ứng dụng. Nếu như ứng dụng trên máy tính để bàn được triển khai trên quy mô từng máy tính đơn lẻ và DN thì ứng dụng web được triển khai trên quy mô Internet.

Tuy nhiên, hiện tại vẫn chưa có bất kỳ một giải pháp bảo mật hoàn thiện nào cả. Các DN phải tự mình cân nhắc giữa những lợi ích và nguy cơ trong việc triển khai ứng dụng web.

Triển vọng

"Dễ dàng khắc phục các lỗi bảo mật là một trong những lợi thế của ứng dụng web," ông Merrill khẳng định. "Nỗ lực khắc phục một lỗi bảo mật khi nó được phát hiện chưa bao giờ là một công việc dễ dàng. Nhưng để khắc phục lỗi bảo mật của một máy chủ thì bao giờ cũng dễ dàng hơn là khắc phục lỗi bảo mật trên một số lượng rất lớn các hệ thống máy khách".

Ông Merrill cho rằng, sẽ có rất nhiều tổ chức DN sẽ "chôn vùi" PC và sẽ chuyển sang sử dụng các ứng dụng web, bởi vì công việc vá lỗi bảo mật cho các ứng dụng PC đã quá nặng nề.

Tuy nhiên, các chuyên gia cũng dự báo, sẽ có một sự gia tăng đáng kể trong số lượng các vụ tấn công ứng dụng web thông qua các lỗi bảo mật ở đây. Nhưng dù sao, từ nay về sau, các DN sẽ tin tưởng ở ứng dụng web hơn, bởi vì họ coi phần mềm cho máy tính cá nhân giờ đây đã quá tồi tệ, trên một vài góc độ nào đó.

Trang Dung