The Register hat einen kurzen Artikel zur Gefahr von Ajax-Applikationen zusammengestellt. Da sind ein paar Punkte drin die auf den ersten Blick lächerlich trivial klingen aber gar nicht so einfach zum Umsetzen sind:
- Know what runs where
Mit Toolkits wie dem Google Web Toolkit (GWT), das automatisch Teile des Programmcodes Java nach Javascript übersetzt und auf dem Client ausführt, muss man sich Gedanken machen, welcher Teil wo ausgeführt wird. Ungünstig ist, wenn sensible Teile des Codes wie z.B. die Authentisierung auf dem Client ausgeführt werden.
- Keep data separate from code
Das vermeidet Injection-Angriffe bei denen Daten so manipuliert werden, dass sie wie Code ausgeführt werden.
- Beware Encoding
Tja, das mit den verschiedenen Encoding-Standards und der Interpretation im Browser ist so eine Sache.
Zum Artikel „Simple Ajax Security“ und mehr bei OWASP.