作者taicomjp (Kurosagi.)
看板Ajax
標題[情報] JavaScript大師:網路開發技術發展應該更重安全
時間Sat May 1 01:50:32 2010
JavaScript大師:網路開發技術發展應該更重安全
文/蘇文彬 (記者) 2010-04-23
由於當前技術仍偏向功能強化為主要思維,指令碼趨向龐雜的結果,容易產生更多安全漏
洞,且失去快速因應攻擊調整架構的靈活性。
身為JavaScript網路技術重要推手的雅虎(Yahoo!)架構設計師Douglas Crockford表示
,現行網頁開發技術思維仍偏重多媒體功能或瀏覽效能的提昇,未來應以安全為第一優先
。
Crockford現為Yahoo!資深JavaScript架構師,負責YUI(Yahoo! User Interface)的架
構設計,並且擔任ECMA JavaScript 2.0技術委員會成員,為JavaScript開發社群大師級
人物,此次受邀來台參加OSDC(Open Source Developer's Conference Taiwan)進行專
題演講,向國內開發者介紹ECMA JavaScript的發展。
Crockford向媒體闡述網路技術發展時指出,當前的網路技術仍然不脫過去的思維,網頁
開發技術仍以功能強化、瀏覽網頁效能提昇為主,雖然強化了網路開發的豐富性,但未將
網路安全列為開發優先考慮因素的結果,致使網路安全事件層出不窮。
延續過去網路開發思維的結果,現今網路技術強調強大的互動、多媒體功能,但也讓一些
攻擊手法興起,以XSS(Cross-Site Scripting)為例,由於內嵌多個不同來源的指令碼
,容易讓駭客藉指令集趁虛而入,竊取用戶端電腦的資料。
雖然也有新的技術,如Google推動的Caja,用以防範XSS跨站攻擊手法,但整體技術發展
方向仍是朝功能、效能提昇前進。
以HTML 5技術為例,Crockford表示,雖然HTML5增加了許多功能,但讓整個指令碼變得更
為龐大且複雜,容易產生漏洞遭到攻擊;另外,支援存取使用者電腦、手機的終端資料,
將資料被竊的安全風險擴大至手機上,而過於龐大複雜的結果,不容易因應日新月異的攻
擊手法改變,長期而言易形成安全風險。
對於當前瀏覽器業者形成速度競賽,紛紛強化JavaScript引擎加速網頁瀏覽速度,號稱最
快的瀏覽速度,他認為,瀏覽器加速網頁瀏覽速度雖是好事,但這樣改善方式有限,只在
5至10%的終端瀏覽器部份加速,若能同時改善伺服器端,加速的效果更大。
對於制定中的新標準ECMA Script 5,他樂觀預期未來將成為主要的網路開發標準,雖然
Apple、Chrome還不明確,但包括IE、FireFox、Opera都傾向ECMA Script 5,今年應會看
到新的瀏覽器採用。
http://www.ithome.com.tw/itadm/article.php?c=60835
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 123.194.186.96