Sikkerhetsfallgruver og forholdsregler i Web 2.0 med AJAX

Abstract

Asynchronous JavaScript and XML (AJAX) er en samling med teknologier, som muliggjør utvikling av webapplikasjoner med interaktive brukergrensesnitt. Sikkerheten i slike webapplikasjoner kan svekkes på grunn av kompleksiteten som AJAX tilfører. Ved å fokusere på funksjonelle krav fremfor sikkerhet, kan det introduseres en rekke fallgruver og angrepstyper under utviklingen. Det blir i oppgaven undersøkt slike fallgruver og angrepstyper, med eksempler på hvordan de kan utnyttes av ondsinnede. Ved å ta forskjellige forholdsregler, kan det utvikles sikre AJAX-baserte webapplikasjoner, og det er derfor undersøkt et aktuelt utvalg av disse. Det finnes rammeverk for å systematisere og effektivisere arbeidet til utviklere. Oppgaven tar for seg rammeverkene Direct Web Remoting, Ruby on Rails og Microsoft ASP.NET. Disse er alle gode kandidater til verktøy for å utvikle AJAX-baserte webapplikasjoner, med hensyn til tid og sikkerhet. Rammeverkene har innebygde mekanismer som hevder å støtte enkelte av forholdsreglene undersøkt. For å teste disse rammeverkene og deres sikkerhetsmekanismer, blir det utviklet en AJAX-basert webapplikasjon i hvert av rammeverkene. Testingen viser at de fleste mekanismene i rammeverkene må aktiveres manuelt, før de bidrar til økt sikkerhet. Det blir også avslørt en feil i en av sikkerhetsmekanismene til rammeverket DirectWeb Remoting. Feilen blir rapportert til utviklerne av rammeverket, sammen med forslag til hvordan denne bør rettes.