Cơ bản về bảo mật trong
Ajax
Công nghệ Ajax đã xuất hiện trên các trangweb từ nhiều năm trước nhờ có
thuộctính tươngtác của nó. Google Suggest và Google Mapslà haiứng dụng của
công nghệ này từ sớm. Ngày nay,cáccông tyđangnghĩ xem làm thế nàođể có thể
tận dụng được nó,các chuyên gia thiết kế web thì cố gắng họchỏi nó, các chuyên
gia bảomật cố gắngđể bảo đảm nó,còn các thanhtra viên về chống thâmnhập
đang nghĩ làm thế nàođể có thể hack nó. Nói gìđi chăngnữa thìbất cứ một kỹ
thuậtmới nào mà có thể cải thiện thônglượng của các server, cung cấp việc
chuyển trạng thái linhhoạt hơn và tạora các ứng dụng web phongphú hơn đến
người sử dụng thì cũng rốt cuộclà tìmra một vị trí đứng chân trong lĩnhvực công
nghiệp.
Ajax được xem như làbước tiếp theo của thế hệ “web2.0”. Mục đích của bài nàylà
nhằmmục đích giới thiệu mộtvàivấn đề cơ bản về bảo mậttrong côngnghệ web
Ajax hiện đại. Với Ajax, các ứng dụngcó thể khó cho việc kiểm trado đó các chuyên
gia bảomật đã chuẩn bị cácphươngpháp phù hợp và các công cụ cần thiết khác.
Chúng tasẽ thảo luận xemcó cần nói lời chia tay với cácứng dụng web cũ thay vào
đó là việc sử dụngAjax để rồi cũng có nghĩa là chúng ta đón chào một vài lỗ hổng
bảo mật mới. Bâygiờ chúng ta sẽ thảo luận vắn tắt về các kỹ thuật bên trong của
Ajax và xét ảnh hưởng các ứng dụng Ajaxvới bảo mật như thế nào.
Cốt lõi của Ajax
Các ứng dụng web thôngthường làmviệc trên mô hình
đồng bộ,có nghĩalà khicó yêu cầu web của ai đó thìđi
cùng với nó là một đáp ứng thực hiệnmột vài hành
động tronglớp trình diễn(presentation). Ví dụ: việc
click mộtlink haynhấn chuột vàonút submitsẽ tạo ra
một yêu cầu đến webserver với các thamsố cóliên
quan. Thói quen “click và wait”này đã giới hạn sự
tương tác của các ứng dụng. Vấn đề này được làm giảm
bớt bằng việc sử dụngcông nghệ Ajax(Asychronous Javascript and XML).Với mục
đíchcủa bài viếtnày tôi chỉ xemAjax như một phương thức gọi không đồng bộ của

vùng có các vấn đề sai. Việcnày baogồmsự nhậnthức đúng đắn, sự cấp phép, điều
khiểntruy cậpvà phê chuẩn đầu vào. Một vàilĩnh vựctiềmnăng có liên quan đến
sử dụng Ajax như sau:
* Các điều khiển bảo mật trình khách
Một vài người cóthể tranh luận rằng sự phụ thuộcvào việclậptrình trên trình
khách gây ra khả năng mangđến mộtvài vấn đề định hướng. Khả năng như vậy
liên quanđến việc bảo mậtcủa các chuyên gia thiết kế kémhiệuquả thôngquacác
điều khiển trìnhkhách. Như chúngta đã thảo luậntrong phần trước trường hợp
sử dụng của Ajaxlà khá ít cho mã scripting trìnhkhách. Tuy nhiên các nhà thiết kế
hiện nayđangphải viết cả hai loạimã trên trình chủ và trình khách. Vì vậy có thể
thu hútcác chuyên giathiết kế hướng về điều khiển bảo mật trên trìnhkhách.Rõ
ràng trên trình kháchlà không an toànvì các kẻ tấn công cóthể thay đổi bất kỳ
code nàođang chạy trênmáy tính trìnhkhách của họ.Chínhvì vậycác điều khiển
bảo mật cần phải bổ sung trêncả server hay luôn luôn phải được thi hànhtrên
máy chủ.
* Tăng bề mặt tấn công
Một thách thức thứ hai liênquanđến sự khó khănlà việc bảo vệ sự tăngbề mặt tấn
công. Ajax chắc chắnlàmtăng độ phức tạp củatất cả các hệ thống. Trong quá trình
mà Ajaxkế tục, các chuyêngia thiết kế có thể viết mã với một số lượng lớn các
trangtrình chủ,mỗi trang thực hiện một vài chức năng nhỏ (trong cả ứng dụng
lớn). Các trang nhỏ này sẽ là một targetthêm vàocho các kẻ phá hoại và như vậy
một điểm thêm nữa cần phải được bảo đảm để bảo vệ lỗ hổng mới không được
giới thiệu. Điều này tương tự như cáckhái niệm bảo mật đã biếttrong các lối đi
vào của một ngôi nhà: khó khăn ở đây là chỗ việc bảođảm cho một ngôi nhà một
cửa so với cho một cái có 10 cửa.
* Kẽ hở cầu nối giữa người dùng và các dịch vụ.
Ajax làmộtphươngpháp mangđếncho người dùng cácgiao diện thân thiện hơn
bởi cấu trúc dịch vụ trực tiếp của nó. Cúhích để làm cho mộtcặp cấutrúc server-
based rời ra là mộtý tưởng đầy hứa hẹn với nhiều lợi ích nhấtlà trongmôi trường
kinh doanh.Khi có nhiềuhơn các “endpoint” này được phát triển và khiAjax giới