JavaScript大師：網路開發技術發展應該更重安全 文/蘇文彬 (記者) 2010-04-23 由於當前技術仍偏向功能強化為主要思維，指令碼趨向龐雜的結果，容易產生更多安全漏 洞，且失去快速因應攻擊調整架構的靈活性。 身為JavaScript網路技術重要推手的雅虎（Yahoo!）架構設計師Douglas Crockford表示 ，現行網頁開發技術思維仍偏重多媒體功能或瀏覽效能的提昇，未來應以安全為第一優先 。 Crockford現為Yahoo!資深JavaScript架構師，負責YUI（Yahoo! User Interface）的架 構設計，並且擔任ECMA JavaScript 2.0技術委員會成員，為JavaScript開發社群大師級 人物，此次受邀來台參加OSDC（Open Source Developer's Conference Taiwan）進行專 題演講，向國內開發者介紹ECMA JavaScript的發展。 Crockford向媒體闡述網路技術發展時指出，當前的網路技術仍然不脫過去的思維，網頁 開發技術仍以功能強化、瀏覽網頁效能提昇為主，雖然強化了網路開發的豐富性，但未將 網路安全列為開發優先考慮因素的結果，致使網路安全事件層出不窮。 延續過去網路開發思維的結果，現今網路技術強調強大的互動、多媒體功能，但也讓一些 攻擊手法興起，以XSS（Cross-Site Scripting）為例，由於內嵌多個不同來源的指令碼 ，容易讓駭客藉指令集趁虛而入，竊取用戶端電腦的資料。 雖然也有新的技術，如Google推動的Caja，用以防範XSS跨站攻擊手法，但整體技術發展 方向仍是朝功能、效能提昇前進。 以HTML 5技術為例，Crockford表示，雖然HTML5增加了許多功能，但讓整個指令碼變得更 為龐大且複雜，容易產生漏洞遭到攻擊；另外，支援存取使用者電腦、手機的終端資料， 將資料被竊的安全風險擴大至手機上，而過於龐大複雜的結果，不容易因應日新月異的攻 擊手法改變，長期而言易形成安全風險。 對於當前瀏覽器業者形成速度競賽，紛紛強化JavaScript引擎加速網頁瀏覽速度，號稱最 快的瀏覽速度，他認為，瀏覽器加速網頁瀏覽速度雖是好事，但這樣改善方式有限，只在 5至10%的終端瀏覽器部份加速，若能同時改善伺服器端，加速的效果更大。 對於制定中的新標準ECMA Script 5，他樂觀預期未來將成為主要的網路開發標準，雖然 Apple、Chrome還不明確，但包括IE、FireFox、Opera都傾向ECMA Script 5，今年應會看 到新的瀏覽器採用。 http://www.ithome.com.tw/itadm/article.php?c=60835 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 123.194.186.96