xml安全廠商forum systems公司上月在安全問題上提出了一個警告，他認為，隨著越來越多的ajax風格的應(yīng)用出現(xiàn)，很多組織需要考慮潛在的安全缺陷以及性能問題。

　　位于鹽湖城的forum systems公司的市場副總裁walid negm說:“我們并非在制造警告。我們只是感到需要讓人們考慮安全和可擴展性需求。我們始終在關(guān)注使用xml的技術(shù)。這是我們份內(nèi)的事。”

　　ajax是asynchronous javascript and xml的縮寫。它通過創(chuàng)建富網(wǎng)絡(luò)應(yīng)用來加強用戶體驗。根據(jù)forum的看法，通過使用與web服務(wù)互操作的更具有交互性的頁面，ajax增加了xml、文本和html的網(wǎng)絡(luò)通信量。但這家公司認為由于依賴xml作為請求/相應(yīng)的內(nèi)容類型，負載成為了web服務(wù)的弱點。該公司還指出，通過把用戶的web瀏覽器轉(zhuǎn)換成web服務(wù)門戶，ajax通信模型增加了瀏覽器處理的可靠性。

　　forum公司嘗試對xml內(nèi)容過濾、web服務(wù)安全以及xml提速功能進行改進。

　　negm指出了一些潛在的問題。他說，首先是惡意的用戶可能會發(fā)送臟數(shù)據(jù)，尤其是創(chuàng)建攻擊性的客戶端。另一個問題就是未授權(quán)的用戶訪問。在ajax應(yīng)用程序中，如果沒有服務(wù)器端保護的話，一個為授權(quán)的用戶可以迅速提高自己的級別。

　　最大的威脅是不良形式的數(shù)據(jù)。他說:“由于使用了異步代碼。拒絕服務(wù)很容易發(fā)生。一種潛在的結(jié)果就是服務(wù)器資源耗盡，或者因為拒絕服務(wù)而引起服務(wù)器宕機。”

　　negm說:“ajax具有一些web應(yīng)用的安全問題，除非你在服務(wù)器端安裝應(yīng)用防火墻，才能得到保護。”

　　他說:“盡管性能是一個大問題，但你還需要考慮數(shù)據(jù)如何影響性能的。ajax使你能夠更好的驗證數(shù)據(jù)，但你不得不要處理附加的驗證需求，而這也是讓服務(wù)器頭疼的事。”

　　被問到提出警告是不是有點自私時， negm回答道:“是存在這個問題，但不提出的話風險更大。我們對我們的安全紀錄很滿意。在警告背后的細節(jié)很有必要值得探討。盡管不是很急，但我們正在讓開發(fā)人員對此進行研究。”

　　位于馬薩諸塞州waltham的zapthink公司的高級分析師jason bloomberg說:“ ajax帶來的安全問題是簡單的網(wǎng)頁無法面對的，讓人們明白這一點非常有必要。forum公司已經(jīng)開始關(guān)注這個威脅，所以發(fā)出警告是很自然的。”

　　adaptive path公司是舊金山一家有用戶體驗的咨詢公司。負責用戶體驗戰(zhàn)略的主管jesse james garrett說:“某種程度上，ajax應(yīng)用把業(yè)務(wù)邏輯從服務(wù)器端搬到了客戶端，于是業(yè)務(wù)邏輯就被暴露出來。根據(jù)應(yīng)用的不同，這種做法增加了潛在的安全風險。”

　　garrett說:“下一個問題是數(shù)據(jù)安全。ajax應(yīng)用能依靠web底層的加密層來加密那些進行數(shù)據(jù)通信的xml文檔。”

　　garrett說:“此外，ajax還有一個問題。我們做的就是降低服務(wù)器通訊中的用戶交互。現(xiàn)在，服務(wù)器通訊對于用戶已經(jīng)完全不可見，因此，你可以在用戶不差覺得情況下傳送數(shù)據(jù)。這是一個很大的風險。”

　　dion almaer是ajax社區(qū)ajaxian.com的創(chuàng)始人之一，他認為ajax中沒有什么是不安全的，但還是有一些問題。

　　他說:“開發(fā)人員必須想清楚他們在做什么。你可以開發(fā)一個非常豐富的ajax應(yīng)用程序，這需要從瀏覽器向客戶端傳送數(shù)據(jù)。你需要讓對服務(wù)器的訪問變得安全，就和使用桌面技術(shù)時一樣。舉個例子，你不想讓你的ajax應(yīng)用能發(fā)送任何sql到后臺的服務(wù)器并運行它。黑客能利用它并手動發(fā)送有害的請求。另外，不要對任何東西都進行eval()操作，還要對xss探測保持警惕。”

　　almaer說:“底線是讓你的服務(wù)器端盡可能安全。這樣對你才有好處。”

　　garrett對此回應(yīng)到:“開發(fā)和部署任何應(yīng)用最重要的是優(yōu)秀的規(guī)劃。開發(fā)ajax有一定的復雜性，這也讓開發(fā)團隊在做選擇時要多考慮一些。”