Cuando el Yamanner worm apareció sobre Yahoo mail causó ciertas dudas en la seguridad en las Web applications.
En detalle el ataque sucedió por la utilización de JavaScript por parte de Ajax, algo que David Wagner de la Universidad de California se refiere como; “esta clase de worm no deberían sorprender a nadie”, ya que se observan muchos ataques en Web applications basadas en Ajax.
Aunque se debe aclarar, como lo dice Billy Hoffman de SPI Dynamics, “...el causante no es Ajax, esto por que JavaScript ya era inseguro desde antes que surgiera Ajax”.
En el caso del Yamanner worm sustituía los comandos JavaScripts originales.
Ahora bien, el problema no es Yahoo Mail, sino el gran problema es hacer filtering de JavaSripts.
El problema de Ajax:
Por ejemplo, el cliente inserta sus datos y al consultar la base de datos de la Web application podrían ejecutarse vulnerabilidades de SQL, algo que referencia Caleb Sima de SPI Dynamics.
Este problema es altamente riesgoso en el e-banking ya que una vez en proceso una Web application sobre el browser window no se correrá una validación o autentificación del usuario por segunda vez, es decir se realiza solo una vez.
Finalmente hay que mencionar que la gran ventaja de Ajax son los bajos costos de programación.
Info Link:
InformationWeek “Yahoo worm sends a warning as Ajax proliferates”
