Все журналы > Журнал Системный Администратор > June 2006

Журнал Системный Администратор

Июнь 2006

Цена: $4.5 US

Современный Linux-сервер: виртуализируем сетевые устройства free Как работает Sendmail? Полезные подробности. Часть 2: Вопросы конфигурации free Переключи драйвер NTFS в режим read-write free Пишем систему динамической защиты ресурсов сети free Быть или не быть зарубежному софту в России? Централизованно меняем пароли локального системного администратора Оппонент мистера Гейтса Создаём зоны DNS Технология AJAX: как насчет безопасности? Настраиваем безопасный роутер на базе FreeBSD Техника снятия дампа с защищенных приложений Первый раз в Linux-класс! Linux в школе? Дистрибутив Edubuntu: специально для школ Волшебство с паяльником в руках Надежда умирает последней: история компании SGI Часть 3

Подписаться

Зарегистриванные пользователи, пожалуйста следуйте этой ссылке

Технология AJAX: как насчет безопасности?

Сергей Яремчук

Один-единственный объект Java Script XMLHttpRequest изменил порядок взаимодействия пользователей с сервером. Если ранее для того, чтобы отправить данные, необходимо было нажимать кнопку, подтверждая действие, то теперь это будет сделано автоматически. Стоит заполнить поле, и браузер уже отправляет данные серверу, пользователь при этом не участвует. Удобство налицо, например, если в поисковике по мере ввода параметров поиска будут выводиться подходящие страницы, то таким образом можно регулировать параметры запроса на лету, добившись результата в меньшее время. Или, например, как в Gmail, можно на лету проверять правописание. При этом веб-приложение фактически ведет себя аналогично настольному.

Безопасность клиента

Все вроде бы хорошо, удобство налицо, но представьте, что при вводе произошла ошибка, например, пользователь механически ввел вместо одного почтового адреса другой. В старых системах у него всегда был бы шанс исправиться, теперь его, увы, уже нет. И в итоге провайдерский почтовый адрес уже висит на каком-либо форуме и через некоторое время попадет в базу данных спамеров. Возможно, это не самое страшное, что может произойти, но можно, например, представить ситуацию и похуже. Зашли на сайт, начали заполнять поля, ввели номер кредитной карточки, а затем сам сайт показался подозрительным, а ничего уже не изменишь. Или, как вариант, по ошибке был введен логин и пароль не к тому сайту, учитывая, что большинство пользователей не утруждают себя многочисленными комбинациями логин/пароль, можно получить данные для доступа совсем к другому ресурсу. При этом владельцы веб-сайтов могут собирать информацию о привычках пользователя. Фактически каждое нажатие клавиши, каждое движение мыши, щелчок, пауза при чтении информации могут быть перехвачены и отправлены на веб-сервер, и пользователь может и не знать об этом, но и сделать, собственно, ничего не сможет. То есть фактически технология AJAX позволяет контролировать действия пользователя, а раз такая возможность есть, то я сомневаюсь, чтобы ею никто не воспользовался.

Оставшая часть статьи доступна только подписчикам. Если вы желаете продолжить чтение этой статьи, то вам необходимо подписаться на эту статью или весь номер.

Подписаться на весь номер

Зарегистриванные пользователи, пожалуйста следуйте по этой ссылке