Web 2.0, en dan met name het gebruik van de Ajax-technologie, houdt een beveiligingsrisico in. Dat vertelde Caleb Sima van SPI Dynamics gisteren op de jaarlijkse conferentie van beveiliger RSA in Londen.
"Wat we zien met Web 2.0 is dat programmeercode die voorheen op de server bleef in toenemende mate verhuist naar de browser. Daardoor kun je makkelijker gebruikersgegevens onderscheppen," zegt Sima, die elf jaar in de IT beveiliging werkzaam is.
De belangstelling voor technieken als Ajax is begrijpelijk: ze zorgen ervoor dat het web gebruikersvriendelijker wordt. "Je hoeft niet elke keer een webpagina te herladen als je iets wilt veranderen," zegt Sima. Maar de consequentie is wel dat gegevens die voorheen veilig op de server werden verwerkt in principe in de browser beschikbaar zijn.
En steeds vaker gaat het mis, waarschuwt Sima. Hij wees in Londen op een inmiddels legendarisch incident met MySpace uit 2005, toen een gebruiker met wat simpele regels Javascript onbedoeld een webworm had gecreëerd. Die forceerde andere gebruikers om toegevoegd te worden aan zijn vriendenlijst. Binnen 24 uur had deze gebruiker – beter bekend als Samy – meer dan 1 miljoen vrienden gemaakt. "Samy werd compleet verrast door wat hij had gedaan," zegt Sima. "Het veroorzaakte zoveel dataverkeer dat de servers van MySpace overbelast raakten."
Toegegeven: MySpace had wel een poging ondernomen om het gebruik van Javascript te beperken, maar de beveiliging was veel te makkelijk te omzeilen. "Samy had er geen kwade bedoelingen mee, maar in andere handen groeien dit soort grappen uit tot serieuze bedreigingen."
Sima wijst ook op een ander incident met een registratieformulier van MacWorld, de jaarlijkse vakbeurs voor Mac gebruikers in San Francisco. "Daar kon je begin dit jaar in ruil voor een couponcode gratis kaartjes krijgen. De bescherming van die gegevens was veel te zwak, en iemand wist zo de beste VIP kaartjes te bemachtigen ter waarde van 1600 dollar, plus toegang tot de exclusieve feestjes. Hij was wel zo eerlijk om het de organisatoren te melden."
Sima waarschuwt ook voor Facebook, de sociale site waar gebruikers eigen applicaties kunnen laten draaien. User generated content houdt steeds meer een gevaar in, waarschuwt Sima. "Hoe weet je dat je die applicaties kunt vertrouwen?"
Sima heeft al voorbeelden gezien waarbij hackers de controle over de browser geheel overnemen. "En dan bepalen zij welke websites je ziet en kunnen ze met gemak wachtwoorden achterhalen, Zelfs het sluiten en weer opstarten van de browser zal lang niet niet helpen."
Volgens Sima is er geen remedie tegen deze aanvallen, behalve dat programmeurs goed naar hun code moeten kijken en die moeten laten valideren tegen zwakheden. "In elk geval dienen webexploitanten en programmeurs zich te realiseren dat ze met Web 2.0 extra risico lopen."
