'Goede beveiliging ajax noodzakelijk'
Gepubliceerd: Donderdag 5 april 2007
Auteur: Wilbert de Vries en Maarten Reijnders
Ontwikkelaars van websites moeten oppassen dat ajax-toepassingen niet leiden tot het lekken van gegevens van gebruikers.
Die waarschuwing geeft het beveiligingsbedrijf Fortify.
De problemen met asynchronous Javascript and xml (ajax) ontstaan doordat ajax-toolkits onvoldoende oog hebben voor de beveiliging, stelt Fortify. Daardoor is het mogelijk dat kwaadaardige websites gebruikmaken van cross-site request forgery (xsrf) om gegevens van andere ajax-sites buit te maken.
Op dit moment doen de problemen zich niet voor bij grote aantallen sites, verklaart Brian Chess tegenover Securityfocus. Maar het gebruik van ajax neemt toe - en daarmee tegelijkertijd de mogelijkheden voor misbruik van xsrf.
Voorkomen is beter dan genezen, stelt Chess. "Normaal lopen we achter de feiten aan, maar deze keer hebben we de mogelijkheid om het probleem te verhelpen voordat het zich daadwerkelijk voordoet."
Volgens Fortify zijn er diverse maatregelen denkbaar. Het beveiligingsbedrijf heeft inmiddels contact gehad met de ontwikkelaars van de belangrijke ajax-frameworks. De ontwikkelaars zijn van plan het probleem zo snel mogelijk te fiksen. In afwachting van deze maatregelen waarschuwt Fortify nu ook de webontwikkelaars.
Bron: Techworld
