"Web 2.0 is gevaarlijk"

24-10-2007 13:04 | Door Redactie Emerce/Computable | Lees meer artikelen over: Encryptie, Ajax | Er zijn 6 reacties op dit artikel | Permalink

Caleb Sima sprak op de RSA conferentie over de gevaren van Web 2.0.

Web 2.0, en dan met name het gebruik van de Ajax technologie, houdt een beveiligingsrisico in. Dat vertelde Caleb Sima van SPI Dynamics gisteren op de jaarlijkse conferentie van beveiliger RSA in Londen.

"Wat we zien met Web 2.0 is dat programmeercode die voorheen op de server bleef in toenemende mate verhuist naar de browser. Daardoor kun je makkelijker gebruikersgegevens onderscheppen," zegt Sima, die elf jaar in de IT beveiliging werkzaam is.

De belangstelling voor technieken als Ajax is begrijpelijk: ze zorgen ervoor dat het web gebruikersvriendelijker wordt. "Je hoeft niet elke keer een webpagina te herladen als je iets wilt veranderen," zegt Sima. Maar de consequentie is wel dat gegevens die voorheen veilig op de server werden verwerkt in principe in de browser beschikbaar zijn.

Incidenten

En steeds vaker gaat het mis, waarschuwt Sima. Hij wees in Londen op een inmiddels legendarisch incident met MySpace uit 2005, toen een gebruiker met wat simpele regels Javascript onbedoeld een webworm had gecreëerd. Die forceerde andere gebruikers om toegevoegd te worden aan zijn vriendenlijst. Binnen 24 uur had deze gebruiker - beter bekend als Samy - meer dan 1 miljoen vrienden gemaakt. "Samy werd compleet verrast door wat hij had gedaan," zegt Sima. "Het veroorzaakte zoveel dataverkeer dat de servers van MySpace overbelast raakten."

Toegegeven: MySpace had wel een poging ondernomen om het gebruik van Javascript te beperken, maar de beveiliging was veel te makkelijk te omzeilen. "Samy had er geen kwade bedoelingen mee, maar in andere handen groeien dit soort grappen uit tot serieuze bedreigingen."

Sima wijst ook op een ander incident met een registratieformulier van MacWorld, de jaarlijkse vakbeurs voor Mac gebruikers in San Francisco. "Daar kon je begin dit jaar in ruil voor een couponcode gratis kaartjes krijgen. De bescherming van die gegevens was veel te zwak, en iemand wist zo de beste VIP kaartjes te bemachtigen ter waarde van 1600 dollar, plus toegang tot de exclusieve feestjes. Hij was wel zo eerlijk om het de organisatoren te melden."

Sima waarschuwt ook voor Facebook, de sociale site waar gebruikers eigen applicaties kunnen laten draaien. User generated content houdt steeds meer een gevaar in, waarschuwt Sima. "Hoe weet je dat je die applicaties kunt vertrouwen?"

Wachtwoorden

>Sima heeft al voorbeelden gezien waarbij hackers de controle over de browser geheel overnemen. "En dan bepalen zij welke websites je ziet en kunnen ze met gemak wachtwoorden achterhalen, Zelfs het sluiten en weer opstarten van de browser zal vaak niet helpen."

Volgens Sima is er geen remedie tegen deze aanvallen, behalve dat programmeurs goed naar hun code moeten kijken en die moeten laten valideren tegen zwakheden. "In elk geval dienen webexploitanten en programmeurs zich te realiseren dat ze met Web 2.0 extra risico lopen."

D van der Valk, 24-10-2007 15:54

Ik zie hier geen enkel nieuws in. Deze meneer kan ons leuk aan een incident uit 2005 herinneren, maar hij heeft inhoudelijk niets te melden en loopt achter de feiten aan.

Hugo, 24-10-2007 16:11

Wat is "Web 2.0 is gevaarlijk" een ontzettend populaire uitspraak. Web 2.0 is absoluut niet gevaarlijk. Het enige dat in deze context gevaarlijk is, is slecht programmeren.

Wesley, 24-10-2007 16:24

Helemaal met Hugo hierboven eens. AJAX is niet per definitie gevaarlijk, zoals hier gesteld word. Echter een slechte implementatie KAN het gevaarlijk maken, net zoals bij elk andere techniek.

Carl, 25-10-2007 13:26

Wat de reacties hierboven aannemen is dat iedereen precies weet waar dit artikel exact over gaat. Terwijl er veel lezers zijn (nee, ik hoor daar niet bij) die geen idee hebben wat AJAX allemaal behelst anders dan snel(ler) reagerende invoervelden en draaiende objecten, etc. Alleen de opmerking in dit artikel dat er meer aandacht moet worden geschonken aan de hackerbestendigheid van code die voorheen op een server draaide en nu op de client maakt dit een nuttig artikel.

Ronald, 26-10-2007 20:03

Web 2.0 is niet het enige wat gevaarlijk is ;-)

Er word hier gepraat over een AJAX (programmeer) TECHNIEK, maar wat nog veel grotere bedreiging vormt, is het feit dat internet bijna letterlijk - als een digitaal zenuwstelsel - door het dagelijkse leven van miljoenen mensen en bedrijven loopt. Heb je daar al eens bij stil gestaan??

Deze Fuzzy techniek laat maar weer eens zien dat je als web-developmentteam altijd bijvoorbeeld de volgende web-forminput check moet inbouwen:.
If Parameter <> [een van de door mij gemaakte mogelijkheden]
Then
- Registreer ip adres
- Clear webserver connection
- Raise security alert
- Exit script
End.

Op deze wijze komen dit soort gedachten AND/OR programmeer-blunders of backdoors eerder boven water.

Herinnerend aan Murphy's Law "If something can go wrong it wil go wrong"..
So beat Murphy at your first line of code. Think ahead of your attacker web-coding-masters ;-) Tijd om weer eens terug te gaan naar rauwe html, en cgi scripts die je zelf 100 procent hebt geschreven.

Er wordt tegenwoordig veel te veel vertrouwd op de zogenaamde ready made componenten van een fabrikant. Wie zegt dat in die kant-en-klare componenten geen BACKDOOR geprogrammeerd zit???

Zijn we allemaal de boodschap van de film "The Net" alweer vergeten, collega's? The treat is out their, on the internet and is it real, very real..

Misschien een leuke nice-markt voor testing bedrijven.
Assume nothing, en reverse engineer ieder stuk (web) software, totdat je helemaal 100 procent zeker weet hoe het werkt :-).

Zodat "Het web versie x.x" jouw bedrijf niet uit business brengt.
Web enabled driven business could kill your company at the speed op light

Ronald Heinen, 29-10-2007 11:10

Het is teleurstellend dat deze discussies zich altijd weer toespitsen op de beveiliging van de programma's terwijl het gaat over de beveiliging van de informatie. Kennis van Informatie-Theorie is daarbij onontbeerlijk. Op de URL
http://picasaweb.google.com/freemovequantumexchange/InformationTheoreticInequalityProver is een korte introductie te vinden op dit gebied, inclusief geautomatiseerde hulpmiddelen.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

"Web 2.0 is gevaarlijk"

Incidenten

Wachtwoorden

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

Best Practices om laptop-data te beschermen