Está em curso uma onda de picaretagem associada à web 2.0.
Especialistas em segurança identificam no mercado uma falcatrua baseada nas tecnologias da web 2.0. Trata-se da oferta de serviços para converter rapidamente aplicações existentes nas empresas em novíssimas soluções baseadas em AJAX.
— Basta dar um tapinha no código e logo teremos a solução, prometem os charlatães 2.0.
Aí é que mora o perigo, alertam os especialistas. Como se sabe, os cuidados com a segurança precisam ser redobrados quando entram em cena os princípios da web interativa. Quando se trabalha com AJAX, há programas e scripts em várias linguagens rodando em diferentes pontos do sistema: no browser, no servidor, no banco de dados etc.
Portanto, se em qualquer aplicação existem brechas de segurança, as vulnerabilidades nesse caso se multiplicam naturalmente. Converter sistemas a toque de caixa, com remendos de código do tipo "um tapinha não dói" é caminho certo para o desastre.
Os especialistas em segurança Billy Hoffman, da HP, e Bryan Sullivan, da Microsoft, autores do livro AJAX Security (Addison-Wesley Professional, 2007), criaram um apelido jocoso para essa migração de sistemas feita da noite para o dia: "premature AJAXulation".
Num evento recente em San Francisco, Hoffman e Sullivan apresentaram um trecho de código comum, de apenas cinco linhas. Em seguida, mostraram à platéia que havia ali nada menos que sete falhas de segurança, entre as quais injeção de SQL, negação de serviço, uma bomba lógica, aumento de privilégios e injeção de código em páginas web (cross-site scripting).
Portanto, não há como chegar a outra conclusão: um "tapinha" pode doer. Muito.
http://info.abril.com.br/blog/machado/20080418_listar.shtml
Nenhum comentário:
Postar um comentário