segunda-feira, 21 de abril de 2008













AJAX Security: para os autores,
migração rápida é
"premature AJAXulation"

Está em curso uma onda de picaretagem associada à web 2.0.

Especialistas em segurança identificam no mercado uma falcatrua baseada nas tecnologias da web 2.0. Trata-se da oferta de serviços para converter rapidamente aplicações existentes nas empresas em novíssimas soluções baseadas em AJAX.

Basta dar um tapinha no código e logo teremos a solução, prometem os charlatães 2.0.

Aí é que mora o perigo, alertam os especialistas. Como se sabe, os cuidados com a segurança precisam ser redobrados quando entram em cena os princípios da web interativa. Quando se trabalha com AJAX, há programas e scripts em várias linguagens rodando em diferentes pontos do sistema: no browser, no servidor, no banco de dados etc.

Portanto, se em qualquer aplicação existem brechas de segurança, as vulnerabilidades nesse caso se multiplicam naturalmente. Converter sistemas a toque de caixa, com remendos de código do tipo "um tapinha não dói" é caminho certo para o desastre.

Os especialistas em segurança Billy Hoffman, da HP, e Bryan Sullivan, da Microsoft, autores do livro AJAX Security (Addison-Wesley Professional, 2007), criaram um apelido jocoso para essa migração de sistemas feita da noite para o dia: "premature AJAXulation".

Num evento recente em San Francisco, Hoffman e Sullivan apresentaram um trecho de código comum, de apenas cinco linhas. Em seguida, mostraram à platéia que havia ali nada menos que sete falhas de segurança, entre as quais injeção de SQL, negação de serviço, uma bomba lógica, aumento de privilégios e injeção de código em páginas web (cross-site scripting).

Portanto, não há como chegar a outra conclusão: um "tapinha" pode doer. Muito

Nenhum comentário: