Ajaxはセキュアか?
Q:Ajax(Asynchronous JavaScript and XML)とマイクロソフトの「Atlas」(開発コード名)を自社のWebサイトで使うつもりでしたが,マネージャが「Ajaxはセキュアではない」と思っています。マネージャは,セキュリティ上の制限の例として,「マイクロソフトのAtlasが『WSE(Web Services Enhancements)3.0』をサポートしていないことを挙げています。Atlasやその他のAjaxツールがWSEをサポートする計画があるかどうかご存知ですか。またこれらの技術の互換性はどうでしょうか?
A:まず,Ajaxのセキュリティを心配しているのは,あなたのマネージャだけではないことを説明しよう。例えば米国eWeekのMatt Hines氏は「Ajax Vulnerabilities Could Pose Serious Risks(深刻なリスクとなるAjaxのぜい弱性)」と「Web 2.0, Ajax Bring New Era of Threats(Web 2.0,Ajaxがもたらす新たな脅威の時代)」という記事で,Ajaxのセキュリティ問題を提起している。
これらの記事の基本的な主張は,Webページが危険な入り口(エンド・ポイント)を作ってしまうのと同じように,Ajaxでもセキュアでないエンドポイントが作成される可能性がある,というものだ。しかし多くの人は,「正しく使えば,AjaxがWebサイトに新たなセキュリティ問題を作り出すことはない」と認識している。
結局のところ仕様を決める段階で危険なところはめぼしが付いているはずなので(値を入力する場所等)その辺りを意識して作る事でセキュアなWebサイトの構築がAjaxを使いながらにして可能になるんじゃないかと思います。SQLインジェクションもそうですが、Ajaxの場合はやはりXSSを注意することになりそうですね。
