OpenAjax聯盟主席:談Ajax的安全問題

有時候包裝的力量不容忽視，拿麥當勞的各種套餐舉個例子吧，你買到手的可能就是一個肉餅，一袋薯條和一杯飲料。但是加上可愛的包裝，再加一個不值錢的塑料玩具，就變得截然不同了。其實在應用程序開發領域，很多相同道理的事情也在不斷發生。一些開發技術例如JavaScript、XML和一些比較老的表現技術（諸如HTML和CSS）被打上“AJAX”的品牌，就引來人們的更多關注。

實際上沒有根本性的變化發生，但是新的名字可以帶來更多的注意力，其效果遠遠好于讓開發者告訴大家：“使用JavaScript和XML技術你能夠開發出很酷的基于瀏覽器的客戶端?！?

Ajax被認為是一種粘合技術，可以把很多具有很酷功能的新服務聚合在一起，例如Google地圖和雅虎的Flickr。但是現在依然存在很多對該技術的困惑，例如怎么樣才是使用Ajax技術開發新的應用的最好的辦法，還有大型技術廠商，包括微軟和Google，計劃如何在它們的產品種支持Ajax。為了得到這些問題和其他的一些解答，某國外媒體在Ajax世界大會上專訪了OpenAjax聯盟的主席David Boloker，來聽聽他對這些問題的看法。

記者：請問Ajax最吸引人的魅力是什么？

Boloker： Ajax可以讓你在一個Web瀏覽器中感受到相當好的用戶交互體驗，而這些以前只有在胖客戶端應用程序中才能做到，現在Ajax可以實現，這就他的魅力。

記者：那么Ajax是如何實現這一點的呢？

Boloker：Ajax實際上是組成一個編程模型的系列標準，這些標準有DHML、JavaScript、XML，還有CSS層次樣式，Web服務，還有其他適合Web開發的東西，它們每一個都是一個標準，一起使用它們就創建了一個工具集?，F在在開源和非開源的服務中，大約有200多個不同的工具集，每一個工具集完成的事情都各不相同。

記者：關于Ajax的安全問題，你們采取了什么措施來保證其安全性？

Boloker：Ajax的安全問題實際上就是Web的安全問題。因此涉及的方面可能比較多，深入的分析OpenAjax，其存在的問題實際就是一個安全問題。這個話題不僅僅包含Web技術已經存在多年的跨站點腳本攻擊問題，而是當你做內容聚合的時候的整個安全概念。

假若你是在你的公司內、或客戶的商店內、或你信任的伙伴間、進行內容聚合的話，這種聚合是安全的。但是當你與不認識的其他的人進行不安全的內容聚合的時候，別人的JavaScript腳步就有可能試圖控制你的機器，因此我們需要在我們內部或公司內做一些技術工作，甚至在W3C內采取一些工作來看一下，“如何才能控制某些人可以訪問這些聚合內容而其他人不可以訪問？”

記者：那么將通過什么措施來解決這個問題？

Boloke：我們現在正在處理這些問題，正在從多方面來了解它。

首先要了解的是，“我們是如何建立Ajax應用并如何調試它”。

第二方面，我們需要了解有可能導致安全問題的各種因素。

第三方面，需要寫給Ajax程序員一個文檔。

第四方面，就是你要尋找的技術：“我們如何來加強這項技術？”這個工作我們正在進行之中。

記者：現在微軟已經承諾將加入OpenAjax嗎？

Boloke:沒有。他們現在正在考慮這件事。

記者：現在還有其他大型的公司參與這個項目嗎？

Boloke：對，現在有很多人在與我們討論，現在它的成員包括：Adobe公司、Backbase公司、BEA公司、DoJo基金會、Eclipse基金會、Google公司、IBM公司、Novell公司、甲骨文公司、SAP公司和紅帽公司等，還有一些來自亞洲國家，他們也貢獻了不小的力量。

編者點評：毫無疑問，AJAX或類似AJAX的技術無疑為web設計帶來了新的生命力。開發者可以在web上創造出以前從所未有的真正的“應用程序”，但是我們也看到，使用AJAX技術必須非常注意安全問題，OpenAjax聯盟正式運作才幾個月，目前已經得到了眾多IT技術公司的支持，我們也希望該聯盟能在AJAX技術上的安全性方面能集眾家所長，為AJAX技術的更強大做出更多的工作。

原文：http://www.linuxinsider.com/rsstory/54038.html

(責任編輯：銘銘 mingming_ky@126.com TEL：（010）68476636)