23. April 2008

Reduzieren von Ajax-Gefahren

Category: Hacking,Work — Christian @ 21:58

The Register hat einen kurzen Artikel zur Gefahr von Ajax-Applikationen zusammengestellt. Da sind ein paar Punkte drin die auf den ersten Blick lächerlich trivial klingen aber gar nicht so einfach zum Umsetzen sind:

  • Know what runs where

Mit Toolkits wie dem Google Web Toolkit (GWT), das automatisch Teile des Programmcodes Java nach Javascript übersetzt und auf dem Client ausführt, muss man sich Gedanken machen, welcher Teil wo ausgeführt wird. Ungünstig ist, wenn sensible Teile des Codes wie z.B. die Authentisierung auf dem Client ausgeführt werden.

  • Keep data separate from code

Das vermeidet Injection-Angriffe bei denen Daten so manipuliert werden, dass sie wie Code ausgeführt werden.

  • Beware Encoding

Tja, das mit den verschiedenen Encoding-Standards und der Interpretation im Browser ist so eine Sache.

Zum Artikel „Simple Ajax Security“ und mehr bei OWASP.