{"id":672,"date":"2008-04-23T21:58:45","date_gmt":"2008-04-23T20:58:45","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/672-reduzieren-von-ajax-gefahren"},"modified":"2018-05-31T15:52:55","modified_gmt":"2018-05-31T14:52:55","slug":"reduzieren-von-ajax-gefahren","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/672-reduzieren-von-ajax-gefahren","title":{"rendered":"Reduzieren von Ajax-Gefahren"},"content":{"rendered":"<p>The Register hat einen kurzen Artikel zur Gefahr von Ajax-Applikationen zusammengestellt. Da sind ein paar Punkte drin die auf den ersten Blick l\u00e4cherlich trivial klingen aber gar nicht so einfach zum Umsetzen sind:<\/p>\n<ul>\n<li>Know what runs where<\/li>\n<\/ul>\n<p>Mit Toolkits wie dem Google Web Toolkit (GWT), das automatisch Teile des Programmcodes Java nach Javascript \u00fcbersetzt und auf dem Client ausf\u00fchrt, muss man sich Gedanken machen, welcher Teil wo ausgef\u00fchrt wird. Ung\u00fcnstig ist, wenn sensible Teile des Codes wie z.B. die Authentisierung auf dem Client ausgef\u00fchrt werden.<\/p>\n<ul>\n<li>Keep data separate from code<\/li>\n<\/ul>\n<p>Das vermeidet Injection-Angriffe bei denen Daten so manipuliert werden, dass sie wie Code ausgef\u00fchrt werden.<\/p>\n<ul>\n<li>Beware Encoding<\/li>\n<\/ul>\n<p>Tja, das mit den verschiedenen Encoding-Standards und der Interpretation im Browser ist so eine Sache.<\/p>\n<p>Zum Artikel &#8222;<a href=\"http:\/\/www.theregister.co.uk\/2008\/02\/18\/simple_ajax_security\/\">Simple Ajax Security<\/a>&#8220; und mehr bei <a href=\"http:\/\/www.owasp.org\/index.php\/Main_Page\">OWASP<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>The Register hat einen kurzen Artikel zur Gefahr von Ajax-Applikationen zusammengestellt. Da sind ein paar Punkte drin die auf den ersten Blick l\u00e4cherlich trivial klingen aber gar nicht so einfach zum Umsetzen sind: Know what runs where Mit Toolkits wie dem Google Web Toolkit (GWT), das automatisch Teile des Programmcodes Java nach Javascript \u00fcbersetzt und [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,6],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/672"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=672"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/672\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=672"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=672"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=672"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}