 |
| Ảnh: JournalNet |
Web 2.0
mang đến khả năng tương tác và kết nối mở rộng cho người sử dụng. Tuy
nhiên, trong quá trình đổ xô đi tìm những "chân trời" mới cho công nghệ
này, vấn đề bảo mật đã vô tình bị bỏ rơi.
Xu hướng Web 2.0 như đang tái hiện lại thời kỳ bùng
nổ Internet trong những năm 90 với nhiều cuộc hội thảo có quy mô lớn
được tổ chức, vô số các công ty nhỏ lần lượt ra đời và những dịch vụ
tiên phong như MySpace.com hay Writely được mua lại bằng các khoản tiền lớn.
Nhưng cảm giác ngờ ngợ, lo lắng cũng bắt đầu xuất
hiện trong suy nghĩ của nhiều chuyên gia. Cũng giống như những ngày đầu
phát triển phần mềm trên desktop, tất cả chỉ chăm chăm vào việc giới
thiệu các tính năng mà quên bảo vệ chúng.
"Chúng ta đang lặp lại những sai lầm mà thế hệ đi
trước đã vấp phải", Billy Hoffman, kỹ sư trưởng tại công ty chuyên về
bảo mật web SPI Dynamics (Mỹ), nhận xét. "Mọi người cùng nhau thảo
luận, trao đổi ý kiến xây dựng ứng dụng web, nhưng lại chẳng hề nhắc
đến bảo mật và không nhận ra các nguy cơ đang rình rập đằng sau hệ
thống của người sử dụng".
Gần đây, virus Yamanner đã tấn công Yahoo Mail để thu
thập hàng trăm nghìn thư điện tử và tự gửi chúng tới tất cả các địa chỉ
liên lạc trong danh bạ. Còn phiên bản Samy và Spaceflash đã hoành hành
trong MySpace và khiến hệ thống hồ sơ lưu trong website mạng xã hội phổ
biến này bị xáo trộn.
Ngay cả định nghĩa Web 2.0 cũng thiếu chính xác. Bất
cứ website cho phép mọi người tương tác nhiều hơn cũng được coi là một
ứng dụng Web 2.0. Một trong những nhân tố "đánh bóng" tên tuổi cho công
nghệ này là tổ hợp AJAX
với ứng dụng nổi tiếng nhất là Google Maps. Nhưng AJAX cũng tạo điều
kiện cho hacker dễ dàng tiếp cận máy chủ web và khai thác site đơn giản
hơn.
"Trang web truyền thống giống như một ngôi nhà không
có cửa sổ, tất cả đều phải ra vào qua cửa chính. Còn website dựa trên
AJAX là một tòa nhà với cả chục cửa xếp, cửa thoát hiểm, thông gió...
Cửa trước và cửa sau có thể được trang bị những ổ khóa lớn nhất, vững
vàng nhất, nhưng kẻ trộm vẫn sẽ tìm được kẽ hở qua các ô cửa sổ",
Hoffman giải thích.
Hơn nữa, website với kỹ thuật lập trình mới sẽ dễ bị
tấn công hơn do nó tương tác với trình duyệt và có thể chạy JavaScript
ngay trên máy khách. AJAX cũng tăng khả năng xuất hiện các lỗ hổng XSS
(cross-site scripting) - lỗi xảy ra khi một lập trình viên viết lệnh
không chuẩn xác. Những công ty lớn như Microsoft, eBay, Yahoo và Google
đã gặp không ít khó khăn khi gặp vấn đề XSS.
Nhưng XSS mới chỉ là rắc rối đầu tiên. Brian Chess,
chuyên gia nghiên cứu tại công ty cung cấp công cụ phân tích nguồn mở
Fortify, còn liệt kê những vấn đề khác trong AJAX như độ chính xác của
mã lệnh, sự xâm phạm mô hình đối tượng hay khả năng xử lý lỗi nghèo
nàn...
Công ty này cũng phát hiện nhiều lỗi trong các đoạn mã AJAX mẫu được trình bày trong Foundations of Ajax
(Nền tảng AJAX) - cuốn sách giúp các lập trình viên tiếp cận công nghệ
mới. "Các đoạn code được soạn không đúng và nếu các chuyên gia phát
triển trên toàn thế giới học theo, họ sẽ lặp lại lỗi đó trong sản phẩm
của mình", Chess cho biết.
"Bảo mật luôn là một phần không thể thiếu trong quá
trình thiết kế, phát triển, phân phối và điều hành các sản phẩm và dịch
vụ AJAX của Google", Douglas Merrill, Phó giám đốc kỹ thuật của Google,
khẳng định.
T.N. (theo CNet)
(Theo VNExpress)