Cơ bản về bảo mật trong Ajax

Công nghệ Ajax đã xuất hiện trên các trang web từ nhiều năm trước nhờ có thuộc tính tương tác của nó. Google Suggest và Google Maps là hai ứng dụng của công nghệ này từ sớm.
Nội dung trích xuất từ tài liệu:
Cơ bản về bảo mật trong Ajax Cơ bản về bảo mật trong Ajax Công nghệ Ajax đã xuất hiện trên các trang web từ nhiều năm trước nhờ cóthuộc tính tương tác của nó. Google Suggest và Google Maps là hai ứng dụng củacông nghệ này từ sớm. Ngày nay, các công ty đang nghĩ xem làm thế nào để có thểtận dụng được nó, các chuyên gia thiết kế web thì cố gắng học hỏi nó, các chuyêngia bảo mật cố gắng để bảo đảm nó, còn các thanh tra viên về chống thâm nhậpđang nghĩ làm thế nào để có thể hack nó. Nói gì đi chăng nữa thì bất cứ một kỹthuật mới nào mà có thể cải thiện thông lượng của các server, cung cấp việcchuyển trạng thái linh hoạt hơn và tạo ra các ứng dụng web phong phú hơn đếnngười sử dụng thì cũng rốt cuộc là tìm ra một vị trí đứng chân trong lĩnh vực côngnghiệp.Ajax được xem như là bước tiếp theo của thế hệ “web 2.0”. Mục đích của bài này lànhằm mục đích giới thiệu một vài vấn đề cơ bản về bảo mật trong công nghệ webAjax hiện đại. Với Ajax, các ứng dụng có thể khó cho việc kiểm tra do đó các chuyêngia bảo mật đã chuẩn bị các phương pháp phù hợp và các công cụ cần thiết khác.Chúng ta sẽ thảo luận xem có cần nói lời chia tay với các ứng dụng web cũ thay vàođó là việc sử dụng Ajax để rồi cũng có nghĩa là chúng ta đón chào một vài lỗ hổngbảo mật mới. Bây giờ chúng ta sẽ thảo luận vắn tắt về các kỹ thuật bên trong củaAjax và xét ảnh hưởng các ứng dụng Ajax với bảo mật như thế nào.Cốt lõi của Ajax Các ứng dụng web thông thường làm việc trên mô hình đồng bộ, có nghĩa là khi có yêu cầu web của ai đó thì đi cùng với nó là một đáp ứng thực hiện một vài hành động trong lớp trình diễn (presentation). Ví dụ: việc click một link hay nhấn chuột vào nút submit sẽ tạo ra một yêu cầu đến web server với các tham số có liên quan. Thói quen “click và wait” này đã giới hạn sự tương tác của các ứng dụng. Vấn đề này được làm giảmbớt bằng việc sử dụng công nghệ Ajax (Asychronous Javascript and XML). Với mụcđích của bài viết này tôi chỉ xem Ajax như một phương thức gọi không đồng bộ củanó tác động đến web server mà không phải refresh toàn bộ trang web. Loại tươngtác này có thể thực hiện được bới ba thành phần: ngôn ngữ scripting trình khách,đối tượng XmlHttpRequest(XHR) và XML.Sau đây chúng ta hãy thảo luận vắn tắt các thành phần này:Ngôn ngữ scripting trình khách được sử dụng để khởi tạo các lệnh call đến serversau đó được sử dụng để truy cập chương trình và update DOM bên trong trìnhduyệt của trình khách. Sự lựa chọn phổ biến nhất trên trình khách là Javascript bởivì sự hiển thị của nó với các trình duyệt là khá tốt. Thành phần thứ hai là đối tượngXHR, đây mới thực sự là trái tim của kỹ thuật này. Các ngôn ngữ như Javascript sửdụng đối tượng XHR để gửi các yêu cầu đến web server ẩn dưới kịch bản và sửdụng HTTP như một trung gian truyền tải. XML sẽ định dạng dữ liệu cho cácmessages mà có thể thay đổi.Nhiều trang sử dụng JSON (Javascript Object Notation) trong phần XML bởi vì cúpháp của nó dễ hơn. Khi sử dụng Javascript để phân tích cú pháp JSON thì nó đơngiản nhiều. Mặt khác ai đó cũng có thể sử dụng Xpath để phân tích quay trở lại cúpháp XML. Cũng có nhiều trang Ajax không sử dụng XML hay JSON, thay vào đó chỉgửi những mẩu HTML đã được chèn động tính vào trong trang web.Như đã chỉ ra ở trên, Ajax không phải là một công nghệ mới toanh mà thay vào đólà một sự kết hợp các công nghệ tồn tại trước đó cùng nhau để phát triển các ứngdụng web có tính tương tác cao. Trong thực tế, tất cả các thành phần trên đã xuấthiện trước và đã được sử dụng nhiều với IE 5.0. Các chuyên gia thiết kế đã đưa racác trường hợp sử dụng Ajax như là “Suggestive” textboxes, và các bảng danh sáchdữ liệu tự động refresh. Tất cả các yêu cầu XHR vẫn được xử lý bởi server sideframeworks điển hình như các chuẩn giống J2EE, .Net và PHP. Tính không đồng bộcủa các ứng dụng Ajax được thể hiện trong hình dưới đây. Bảo mật Ajax.Chúng ta đã ôn lại về Ajax, bây giờ hãy thảo luận về việc bảo mật nó. Ajax không cólỗ hổng bảo mật mới trong lĩnh vực ứng dụng web. Thay vào đó các ứng dụng đốimặt với các vấn đề bảo mật như các ứng dụng web cổ điển. Không may, các hànhđộng chung nhất của Ajax lại không được phát triển, việc này đã để lại rất nhiềuvùng có các vấn đề sai. Việc này bao gồm sự nhận thức đúng đắn, sự cấp phép, điềukhiển truy cập và phê chuẩn đầu vào. Một vài lĩnh vực tiềm năng có liên quan đếnsử dụng Ajax như sau:* Các điều khiển bảo mật trình kháchMột vài người có thể tranh luận rằng sự phụ thuộc vào việc lập trình trên trìnhkhách gây ra khả năng mang đến một vài vấn đề định hướng. Khả năng như vậyliên quan đến việc bảo mật của các chuyên gia thiết kế kém hiệu quả thông qua cácđiều khiển trình khách. Như chúng ta đã thảo luận trong phần trước trường hợpsử dụng của Ajax là khá ít cho mã scripting trình khách. Tuy nhiên các nhà thiết kếhiện nay đang phải viết cả hai loại mã trên trình chủ và trình khách. Vì vậy có thểthu hút các chuyên gia thiết kế hướng về điều khiển bảo mật trên trình khách. Rõràng trên trình khách là không an toàn vì các kẻ tấn công có thể thay đổi bất kỳcode nào đang chạy trên máy tính trình khách của họ. Chính vì vậy các điều khiểnbảo mật cần phải bổ sung trên cả server hay luôn luôn phải được thi hành trênmáy chủ.* Tăng bề mặt tấn côngMột thách thức thứ hai liên quan đến sự khó khăn là việc bảo vệ sự tăng bề mặt tấncông. Ajax chắc chắn làm tăng độ phức tạp của tất cả các hệ thống. Trong quá trìnhmà Ajax kế tục, các chuyên gia thiết kế có thể viết mã với một số lượng lớn cáctrang trình chủ, mỗi trang thực hiện một vài chức năng nhỏ (trong cả ứng dụnglớn). Các trang nhỏ này sẽ là một target thêm vào cho các kẻ phá hoại và như vậy ...