AJAX Tietoturvahuolet

Pikkasen olen jo pitkän aikaa uumoillut miten tulevina vuosina tullaan kiroilemaan kaikkia AJAX:in ylikäyttöön liittyviä tietoturvahuolia ja virheitä ja sotkuisia JavaScript mylläköitä. Edes Google ei ole ollut haavoittumaton näiden suhteen. Vietin suurimman osan 2000-luvun alkua saarnaten miten JavaScriptin käyttö on saatanasta koska se johtaa selainriippuvuuksiin ja on lähes mahdotonta testata eri selainyhdistelmillä, ja mitä enemmän JavaScriptiä sitä enemmän myös siirrämme tilatietoa ja vastuuta selainpäähän – päähän johon ei voi luottaa. Mikä sitten on muuttunut niin että AJAX on yllättäen turvallisempaa? Ei oikeastaan mikään..

AJAX oireilee samaa ongelmaa. Käyttäjä kirjautuu sisään – missä käyttäjän autentikointistatus ja id luuraavat? Onko syötteiden validointi sellaista että luotetaan JavaScriptin olevan aina päällä ja toimivan moitteettomasti? Mitä enemmän teet client päässä sitä enemmän kysymyksiä herää. Selain on vihamielistä maaperää. Keskiverrot tietokonekyvyt osaavalle on triviaalia muuttaa kaikki selaimeen lähetetty toimimaan täysin eri tavalla, oli sitten kyse cookieista tai javascript logiikasta. Voimme tietysti siirtää riskialtista tilaa enemmän palvelinpäähän, ja mahdollisesti logiikkaa myös, mutta sitä taas monet frameworkit ja koodit eivät tee.. Eli tulevina vuosina odotettavissa enemmän ja enemmän hauskoja pikku sivuefektejä rikkaita käyttöliittymiä hyödyntäville sovelluksille – no ainakin osille niistä. Aika ajoin törmää ratkaisuihin joissa nämä on tehty fiksummin, ja toki kehnosti tehdynkin sovelluksen voi auditoida ja panssaroida jälkikäteen.

Sitä odotellessa, tässä muidenkin mietteitä, enemmän tuon JavaScriptin puolelta kuin niinkään AJAX:ista: http://www.dzone.com/links/r/javascript_must_die.html

Ja tässä harvinaisen selkeä selitys Scrum:sta: http://www.dzone.com/links/r/presentation_scrum_at_bbv_software_services_ag.html

Mainokset

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s