Ajax neemt een ware vlucht. Op steeds meer websites zien we Ajax-technieken terugkomen. Veel ontwikkelaars gaan dan ook vol enthousiasme aan de slag en bouwen de meest fantatische dingen. Volgens Walid Negm, vice president van Forum Systems worden veiligheidsissues daardoor nog wel eens over het hoofd gezien.
Ontwikkelaars moeten bewuster omgaan met randvoorwaarden omtrent veiligheid en schaalbaarheid. Het is makkelijk om grote hoeveelheden foute data naar de server te sturen en deze te laten crashen. Als er geen beveiliging op de server is kan een ongeauthoriseerde gebruiker zelfs redelijk gemakkelijk inbreken in het systeem.
Met een firewall op de server kan je je voor de meeste veiligheids risicos wel indekken, aldus Negm. Het gevaar van overbelasting van de server is hiermee echter niet opgelost en moet echter niet worden onderschat.
Met Ajax verplaats je bedrijfslogica van de server naar de client, dit gaat dus altijd gepaard met enige risico’s, aldus Jesse James Garret (geestelijk vader van Ajax). Met de huidige encryptie-technieken kunnen deze echter tot een minimum worden beperkt. Dion Almaer is het hier mee eens. Err is niets onveilig aan Ajax, alhoewel er wel wat kinderziektes zijn.
Het punt van veiligheidsrisicos kan dus makkelijk worden opgelost. Jammer echter dat Garret en Almaer niet op het punt van server-overload. Niet zo lang geleden kwam Onderzoeksbureau iPing met het bericht dat de bereikbaarheid van Nederlandse sites dramatisch slecht is. Als Ajax zorgt voor meer belasting op de server zal het met de bereikbaarheid alleen maar slechter gaan.
Nog geen reacties op "Ajax zorgt voor veiligheids en bereikbaarheids problemen"
Volgens mij zijn de risico’s hetzelfde als bij een standaard webinterface. Invoer moet je controleren. Doordat de communicatie complexer wordt moet je hier inderdaad wat meer tijd aan besteden.
“Met Ajax verplaats je bedrijfslogica van de server naar de client”
Als je er vanuit gaat dat ‘de client’ alles naar je server kan sturen lijkt het me niet verstandig de bedrijfslogica bij de client neer te leggen. Dat is vragen om problemen. (Ik wil graag 10 iPods a €0,01 per stuk.) Een minimaal deel van de logica naar de client kopiëren om de gebruikerservaring te verbeteren lijkt me het hoogst haalbare.
Interactie op een reguliere website is in het praktijk het gevaarlijkste wat je kunt doen. Ook grote websites worden nog regelmatig aangepakt met hele simpele truckjes. AJAX is nu nog pionieren maar als er naar verloop van tijd goede applicatie-frameworks ontstaan kunnen die de beveiliging voor een groot deel op zich nemen waarbij je het risico juist verkleint.
Plaats je reactie
Velden met een * zijn verplicht in te vullen