성급한 에이잭스 채택, 공격 취약성 높아진다

가장 최신의 에이잭스 테크놀로지로 웹사이트를 만들고 싶은가? 아니면 기존의 애플리케이션을 에이잭스로 만들어 보는 건 어떻게 생각하는가?

SPI 연구소 선임 연구 엔지니어 브라이언 설리번과 팀 리더 빌리 호프만은 1일오후 (미국시간) 블랙햇에서 ‘시기상조 에이잭스화’ 대담 중 그렇게 말했다. 또 “개발자들은 작업 중에 다른 사람이 코드를 어떻게 사용할지에 관심없고, 단지 그 코드가 어떻게 작동하는지에만 주의를 기울인다”고 말했다.

그것을 증명하기 위해 설리반과 호프만은 ‘해커트래블닷컴(HackerTravel.com)’이라는 가상의 관광 사업 관련 웹사이트를 구축했다.

호프만은 “우리는 널리 알려진 에이잭스 웹사이트로부터 그리고 유명한 에이잭스 관련 서적에서 발견한 사례를 사용한다. 소위 믿을 만한 출처를 통해서 작업한다는 방식대로 이것을 제대로 구축했다고 말할 수 있다. 바로 이것이 이러한 애플리케이션을 개발하면서 고려해야 하는 사항이며, 그것을 출발점으로 삼아 이러한 애플리케이션을 어떻게 안전하게 개발 할 수 있는지 보여주어야 한다”고 말했다.

자세히 보기>>

웹 2.0, 기업 보안에 문제가 될 수 있다

웹 2.0, 보안 위험 수위「빨간불」

설리반과 호프만은 에이잭스와 관련하여 발표되고 있는 가장 최선의 조치에 문제가 있다고 말한다. 그들은 비즈니스 로직을 클라이언트 쪽에 부여하지 말고, 모든 기능 콜을 처리하기 위해 싱글 자바스크립트 이용을 자제하며 데이터셋(DataSet) 객체를 사용하지 말라고 권고한다.

모든 보안 사항들을 클라이언트의 반대편에 있는 서버 쪽에 저장할 때 사이트를 공격으로부터 더 효과적으로 보호할 수 있다.