Web 2.0 - công nghệ mới, sai lầm cũ

Web 2.0 mang đến khả năng tương tác và kết nối mở rộng cho người sử dụng. Tuy nhiên, trong quá trình đổ xô đi tìm những "chân trời" mới cho công nghệ này, vấn đề bảo mật đã vô tình bị bỏ rơi.

Ảnh: JournalNet

Xu hướng Web 2.0 như đang tái hiện lại thời kỳ bùng nổ Internet trong những năm 90 với nhiều cuộc hội thảo có quy mô lớn được tổ chức, vô số các công ty nhỏ lần lượt ra đời và những dịch vụ tiên phong như MySpace.com hay Writely được mua lại bằng các khoản tiền lớn.

Nhưng cảm giác ngờ ngợ, lo lắng cũng bắt đầu xuất hiện trong suy nghĩ của nhiều chuyên gia. Cũng giống như những ngày đầu phát triển phần mềm trên desktop, tất cả chỉ chăm chăm vào việc giới thiệu các tính năng mà quên bảo vệ chúng.

"Chúng ta đang lặp lại những sai lầm mà thế hệ đi trước đã vấp phải", Billy Hoffman, kỹ sư trưởng tại công ty chuyên về bảo mật web SPI Dynamics (Mỹ), nhận xét. "Mọi người cùng nhau thảo luận, trao đổi ý kiến xây dựng ứng dụng web, nhưng lại chẳng hề nhắc đến bảo mật và không nhận ra các nguy cơ đang rình rập đằng sau hệ thống của người sử dụng".

Gần đây, virus Yamanner đã tấn công Yahoo Mail để thu thập hàng trăm nghìn thư điện tử và tự gửi chúng tới tất cả các địa chỉ liên lạc trong danh bạ. Còn phiên bản Samy và Spaceflash đã hoành hành trong MySpace và khiến hệ thống hồ sơ lưu trong website mạng xã hội phổ biến này bị xáo trộn.

Ngay cả định nghĩa Web 2.0 cũng thiếu chính xác. Bất cứ website cho phép mọi người tương tác nhiều hơn cũng được coi là một ứng dụng Web 2.0. Một trong những nhân tố "đánh bóng" tên tuổi cho công nghệ này là tổ hợp AJAX với ứng dụng nổi tiếng nhất là Google Maps. Nhưng AJAX cũng tạo điều kiện cho hacker dễ dàng tiếp cận máy chủ web và khai thác site đơn giản hơn.

"Trang web truyền thống giống như một ngôi nhà không có cửa sổ, tất cả đều phải ra vào qua cửa chính. Còn website dựa trên AJAX là một tòa nhà với cả chục cửa xếp, cửa thoát hiểm, thông gió... Cửa trước và cửa sau có thể được trang bị những ổ khóa lớn nhất, vững vàng nhất, nhưng kẻ trộm vẫn sẽ tìm được kẽ hở qua các ô cửa sổ", Hoffman giải thích.

Hơn nữa, website với kỹ thuật lập trình mới sẽ dễ bị tấn công hơn do nó tương tác với trình duyệt và có thể chạy JavaScript ngay trên máy khách. AJAX cũng tăng khả năng xuất hiện các lỗ hổng XSS (cross-site scripting) - lỗi xảy ra khi một lập trình viên viết lệnh không chuẩn xác. Những công ty lớn như Microsoft, eBay, Yahoo và Google đã gặp không ít khó khăn khi gặp vấn đề XSS.

Nhưng XSS mới chỉ là rắc rối đầu tiên. Brian Chess, chuyên gia nghiên cứu tại công ty cung cấp công cụ phân tích nguồn mở Fortify, còn liệt kê những vấn đề khác trong AJAX như độ chính xác của mã lệnh, sự xâm phạm mô hình đối tượng hay khả năng xử lý lỗi nghèo nàn...

Công ty này cũng phát hiện nhiều lỗi trong các đoạn mã AJAX mẫu được trình bày trong Foundations of Ajax (Nền tảng AJAX) - cuốn sách giúp các lập trình viên tiếp cận công nghệ mới. "Các đoạn code được soạn không đúng và nếu các chuyên gia phát triển trên toàn thế giới học theo, họ sẽ lặp lại lỗi đó trong sản phẩm của mình", Chess cho biết.

"Bảo mật luôn là một phần không thể thiếu trong quá trình thiết kế, phát triển, phân phối và điều hành các sản phẩm và dịch vụ AJAX của Google", Douglas Merrill, Phó giám đốc kỹ thuật của Google, khẳng định.