Ajax kan føre til flere Yahoo-orme

Webudviklerne hos internetfirmaet Yahoo fik mandag travlt med at finde og lukke et sikkerhedshul i selskabets populære webmail, efter en virusprogrammør havde sluppet en primitiv JavaScript-orm løs.

Ormen kaldet Yamanner spredte sig mellem Yahoo-brugere ved hjælp af et JavaScript, der blev afviklet, når virus-mailen blev åbnet af brugeren.

Scriptet indsamlede e-mailadresserne fra brugerens adressebog og sendte sig selv videre.

Yamanner var forholdsvis harmløs, og Yahoo fik stoppet angrebet tirsdag, men ormen kan være et signal om, at firmaer, der bygger applikationer ved hjælp af Ajax, er nødt til at være forberedt på sikkerhedsproblemer.

Ajax er en platform for simple webapplikationer baseret på asynkron JavaScript og XML, som primært tilgås ved hjælp af en webbrowser.

Yahoo har i forvejen et indbygget filter, der skal begrænse brugen af JavaScript i de e-mails, der går gennem selskabets webmail, men filteret fangede altså ikke alt.

- Problemet er ikke, at Yahoo er inkompetent. Problemet er, at det er meget svært at filtrere JavaScript, så det bliver sikkert, siger lektor i datalogi ved UC Berkeley David Wagner til InformationWeek.

Uden nøje overvejelse og forsigtighed vil applikationer, der er bygget ved hjælp af Ajax, kunne udnyttes af hackere, der finder sikkerhedshuller i applikationerne, som det skete for Yahoo.

- JavaScript giver hackeren alle fordelene, og webprogrammøren skal arbejde meget ihærdigt for at opveje det, siger David Wagner til InformationWeek.

Sikkerhedsproblemer med JavaScript er ikke noget nyt. Brugen af Ajax i applikationer, der er sårbare over for angreb, kan imidlertid føre til flere problemer.