显然,随着Ajax的流行,一切似乎都非常风平浪静,尽管大家都知道不会一直下去。就像随着智能手机的出现,手机病毒也逐渐流行。Ajax显然给Web的浏览器端带来了极大的能力,当然,病毒也肯定不会放过这个机会,只不过是时间的问题。
一篇文章在网络上掀起轩然大波,JavaScript worm targets Yahoo!。该文描述了最近一次Yahoo Mail收到病毒攻击的事件。
更详尽的信息你可以Security - Yamanner Worm Hits Yahoo Mail,尽管这仅仅不过是Yahoo的一个Beta版Mail System,但是由于它的Ajax背景,似乎足够吸引人。
上文有完整的解释,甚至,该病毒惊动了Symantec。Symantec对该病毒做出了反应,具体信息见这里:JS.Yamanner@m。你可以看到整个病毒运行的全过程。
当然,也有代码,如果你对代码非常敏感的话。不过我没看,打开就晕了。:P
大名鼎鼎的Eric对此事也做出了反应,在其Blog上发出了名为Will Ajax get another bad rap? Yahoo worm。
是啊,自从Ajax问世以来,虽然本身发展的红红火火,但也总是质疑声不断。这次又加上病毒的袭扰,恐怕,又有人会站出来痛斥Ajax的X大弱点了。
其实,任何一个投身于Ajax大潮中的开发者都应当明白,事情都有两面性。当XHR和Javascript的强大组合赋予客户端更多的功能的时候,总有些不和谐的东西会参与进来。问题就在于,浏览器不会替你去区分网页中的JS代码,对它来讲,只要是这个网页的,都一视同仁。所以,如果我们不控制,就永远存在风险。
就像Eric提到的,对于用户的输入,你必须进行检查。甚至有时,即便不是用户的输入,是来自远方的服务器,你也必须想出某种策略来进行验证。你不能假定所有这一切都运行在一个封闭、稳定的环境中,除非,你的系统不受欢迎,没有多少用处。
问题是,这样的问题也不是头一次。Javascript代码的安全问题并不是无人知晓,只不过由于之前应用规模和重要程度的限制,没有人重视。其实,Ajax所做的,无非就是提高Javascript代码的量和重视程度而已。
还是Eric的那句话,连Yahoo都能栽在这里,我们也不得不掂量一下自己的分量了。
相关连接还包括:
扫一扫
5431
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
