Ajax带来Web病毒新一代

显然,随着Ajax的流行,一切似乎都非常风平浪静,尽管大家都知道不会一直下去。就像随着智能手机的出现,手机病毒也逐渐流行。Ajax显然给Web的浏览器端带来了极大的能力,当然,病毒也肯定不会放过这个机会,只不过是时间的问题。

一篇文章在网络上掀起轩然大波,JavaScript worm targets Yahoo!。该文描述了最近一次Yahoo Mail收到病毒攻击的事件。

更详尽的信息你可以Security - Yamanner Worm Hits Yahoo Mail,尽管这仅仅不过是Yahoo的一个BetaMail System,但是由于它的Ajax背景,似乎足够吸引人。

上文有完整的解释,甚至,该病毒惊动了SymantecSymantec对该病毒做出了反应,具体信息见这里:JS.Yamanner@m。你可以看到整个病毒运行的全过程。

当然,也有代码,如果你对代码非常敏感的话。不过我没看,打开就晕了。:P

大名鼎鼎的Eric对此事也做出了反应,在其Blog上发出了名为Will Ajax get another bad rap? Yahoo worm

是啊,自从Ajax问世以来,虽然本身发展的红红火火,但也总是质疑声不断。这次又加上病毒的袭扰,恐怕,又有人会站出来痛斥AjaxX大弱点了。

其实,任何一个投身于Ajax大潮中的开发者都应当明白,事情都有两面性。当XHRJavascript的强大组合赋予客户端更多的功能的时候,总有些不和谐的东西会参与进来。问题就在于,浏览器不会替你去区分网页中的JS代码,对它来讲,只要是这个网页的,都一视同仁。所以,如果我们不控制,就永远存在风险。

就像Eric提到的,对于用户的输入,你必须进行检查。甚至有时,即便不是用户的输入,是来自远方的服务器,你也必须想出某种策略来进行验证。你不能假定所有这一切都运行在一个封闭、稳定的环境中,除非,你的系统不受欢迎,没有多少用处。

问题是,这样的问题也不是头一次。Javascript代码的安全问题并不是无人知晓,只不过由于之前应用规模和重要程度的限制,没有人重视。其实,Ajax所做的,无非就是提高Javascript代码的量和重视程度而已。

还是Eric的那句话,连Yahoo都能栽在这里,我们也不得不掂量一下自己的分量了。

相关连接还包括:

1、  Web 2.0 worm downs MySpace

2、  Kama Sutra worm crashes malware chart

3、  Download.Ject-style worm spreads via IM

你可能感兴趣的:(Ajax带来Web病毒新一代)