Jump to content

Web-dev & Programmeren

  • artikelen
    9
  • reacties
    18
  • bezichtigingen
    3055

AJAX toch waterdicht?


ViceAgent

344 bezichtigingen

AJAX blijkt toch niet zo gevaarlijk als altijd gedacht werd.. Of wel? Als je niet weet wat AJAX is, leg ik het even uit..

AJAX (Asynchronous Javascript And XML) is, zoals de naam al doet vermoeden, een combinatie van Javascript en XML om interactieve webapplicaties te maken. Om een paar voorbeelden te noemen: de "Quick Edit" functie van dit forum word medemogelijk gemaakt door AJAX; je hoeft de pagina niet te refreshen. Ook veel populaire sites als "Hyves" en "Google" gebruiken deze technologie.

Dit klinkt allemaal te mooi om waar te zijn! Maar toen een lid van de populaire profielcommunity "MySpace" door middel van AJAX het profiel van andere leden kon aanpassen, zodat ze hem automatisch in hun vriendenlijst plaatsten en vervolgens de code bij bezoekers van hún profiel injecteerden, was de lol er al snel van af..

Nu claimt "WhiteHat Security" echter dat AJAX wel degelijk veilig is om te gebruiken, mits de serversoftware goed geupdate is.. Ze stellen daarbij het volgende:

# AJAX zorgt voor een groter aanvalsoppervlak (niet waar)

# Aanvalsoppervlak is door AJAX moeilijker te vinden - (ja en nee)

# AJAX kan een denial of service veroorzaken - (niet echt)

# AJAX is afhankelijk van client-side security - (nee)

# AJAX leidt tot slechte beveiligings beslissingen - (min of meer)

# AJAX verergert Cross-Site Scripting aanvallen - (hopelijk niet)

# AJAX verandert security best practices - (nee)

Helemaal duidelijk is het dus nog niet.. Éen ding is zeker, AJAX is en blijft een geniale techniek! We houden je op de hoogte!

Door: ViceAgent

Notes:

- Artikel op Security.nl

- AJAX tutorial op W3C

4 reacties


Recommended Comments

NandroDavids

Geplaatst:

Uiteraard heeft Ajax een geniale techniek, maar waterdicht kunnen we Ajax tegenwoordig helaas niet meer noemen :clown:

Sorry voor de wat minder serieuze reactie, maar alles wat je hier vertelt gaat me volledig te boven: Ik heb geen flauw idee waar je het over hebt. Maar ja, als je het over Ajax gaat hebben moet ik toch even reageren...;)

Veel succes trouwens verder met de blog, want een leuk initiatief is het zeker! :Y

ViceAgent

Geplaatst:

Zal het misschien later nog wat duidelijker uitleggen.. Het idee is dus dat je zonder de pagina te kunt herladen data kunt ophalen uit andere bestanden (en dus ook uit MySQL databases).. Alleen laat de keeper er de laatste tijd dus wat goals door, of toch niet?

Ewoud

Geplaatst:

Zal het misschien later nog wat duidelijker uitleggen.. Het idee is dus dat je zonder de pagina te kunt herladen data kunt ophalen uit andere bestanden (en dus ook uit MySQL databases).. Alleen laat de keeper er de laatste tijd dus wat goals door, of toch niet?

Ik heb nog niet van grote veiligheids risico's gehoord veel sites gebruiken het al. Het zit trouwen ook in IPB.

Argon

Geplaatst:

Ik heb nog niet van grote veiligheids risico's gehoord veel sites gebruiken het al. Het zit trouwen ook in IPB.

En in phpBB niet. Dat is een slecht punt voor phpBB aangezien mesnen die iets proffesioneel en gebruiksvriendelijk(er) willen voor IPB gaan. Zo kan je als moderator bijvoorbeeld toch ook de topic beschrijving veranderen als je een forum bekijkt? En het snel bewerken gaat ook met AJAX...

Volgens mij komt dit in phpBB 3.1.X wel... Of het zal op zijn minst wel aangehaald worden.

Gast
Reactie toevoegen...

×   Je hebt text geplaatst met opmaak.   Opmaak verwijderen

  Only 75 emoji are allowed.

×   Je link is automatisch ingevoegd.   In plaats daarvan weergeven als link

×   Je vorige bewerkingen zijn hersteld.   Alles verwijderen

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...