Web2.0安全堪忧 Ajax旧患复发？

根据美国一家调查机构的调查显示，超过半数的IT经理们已经对Web 2.0的商业价值情有独钟，他们对博客和Podcast的商业价值了如指掌。而且这些企业已经准备在今年就引入Web2.0。

但是Gartner发布了一份报告告诫企业，他们忽视了Web2.0的潜在危险。Gartner认为：并不安全的Web 2.0聚合将导致新的网络钓鱼和攻击。

Websense也在其“2007年安全趋势预测报告”中称：虽然Web 2.0的技术在大规模的使用，却忽视了安全问题，Web 2.0的安全问题将会逐渐增多。Web 2.0站点正在不断增长，大约前20家访问流量最高网站的80%都是这样的站点，比如MySpace和Wikipedia。内容不断变化是这类站点的特色，而且这种特点决定了不仅监控非常困难，而且很难确保相应的安全。

是Ajax的错吗?

Web 2.0只是一个笼统概念，涵括非静态、非纯网页的网站。Web2.0和过去的Web不同的是，它提供了与桌面应用非常相似的使用经验。Ajax则是实现Web2.0模式的主要技术。Google去年推出的Google Maps就是第一批向世人展示Ajax开发效果的网站之一，它提供了强大的交互能力。

但Ajax的“功能”不只是把网页变得更互动而已。专家认为它也给黑客提供了整垮Web服务器的渠道。虽然Ajax本身不会引发漏洞，只是它让旧有问题变得更容易发生。

黑帽安全大会上，有人针对Ajax的安全问题发表了评论：传统网站好比一幢没有窗子、只有一扇门的房子，而Ajax网站则是一个有数不清窗子和旋转门的房子，尽管你在前后大门上加了最安全的锁，但我还是可以从窗口钻进去。

以Ajax技术开发的网站将会“更容易”受到攻击，因为它和浏览器有更多互动，而且可以在用户端PC上执行JavaScript。

Ajax也增加了跨网站指令码(Cross-Site Scripting)的可能性，攻击者可以利用这项弱点盗取使用者帐号，发动网钓诈骗窃取信息，或甚至把恶意源代码下载到使用者电脑中。微软、eBay、雅虎与Google等网站都曾出现跨网站指令码的漏洞。

开发Web2.0更要注重安全性

MySpace.com可能算是Web 2.0的榜样，但从安全的角度来看，它却远没有那样完美。这家广受欢迎的公共网站在最近受到一种蠕虫的重创，这种蠕虫能够利用网站上存在的脚本漏洞盗取用户的口令。令人不安的是，MySpace已经不止一次受到了蠕虫的破坏。

最近一次MySpace蠕虫所使用的这种跨站点脚本攻击方式，已经在过去的几年中变得越来越普及，因为黑客们已经发现了这类攻击的作用和好处。一些安全专家认为，这些漏洞可能造成的危害远远超出人们的想象，甚至在用户毫不知情的情况下造成许多危害，其中包括强迫PC下载非法内容、侵入其他Web站点或发送电子邮件等。

当客户端强大到足以分担计算、实现令人炫目的功能时，Web2.0安全问题也被逐渐关注。Web2.0应用有多个终端点;每个点都是威胁的侵入点。为了保证安全，我们应当保护好所有这些点。Web2.0促成了很多浏览器安全相关的新的漏洞。利用这些安全漏洞很难但不是不可能。安全问题以及促成因素结合起来将严重影响那些大的网络团体，比如能被攻击者蠕虫和病毒利用的那些组织。最终将导致身份信息的泄漏。

专家表示，Web2.0网站开发人员对网络用户及服务器的安全意识更应该加强。网络用户的PC安全软件，比如杀毒软件与反钓鱼工具能提供一定的防护能力，但此类应用一般只在攻击发生后效果最大，因为它们需要攻击签名或已知恶意网站的黑名单做为比对。