Web2.0のサービスが新たなセキュリティリスクに(日経パソコンPCオンライン)
Web2.0みたいな定義のない言葉はキライなのでこういう見出しには大体ゲンナリするんですが、記事の中身を読むと違う印象。Ajaxの脅威のところにうなづく。これ、もう少し言われてもいいと思うけどなぁ。
Ajaxこそ定義通りに使われない言葉だけど(XMLどこにあんねん！てのをよく見る)、この要素技術のうちのA、つまり非同期通信な部分はよく使われている。これ、カッコイイが一般にはロジックが複雑化するのでバグを産みやすい。しかもこういう、タイミングに基づくバグは一度作りこんでしまうと発見も解消も面倒。そしてバグはセキュリティリスクを増す。特にセッション管理はまじめに状態遷移させようとすると大変面倒な上にバグ生みそうだからたいてい安易な方法をとるだろう、ってことは横取りもより簡単なわけで・・・
それ以前の問題として、「こう書いたら安全ですよ」っていうフレームワークの提供がなされないまま各プログラマに生でゴリゴリ書かせることがアタリマエで、書くほうもそれがカッコイイと思ってる風潮はなんとかならんのかしら。今のWebアプリケーションが陥っている問題をさらに困難にしてくれそう。Google Web Toolkitみたいなものがいくつか現れて、そこが一番面倒なセキュリティリスクの軽減を担ってくれてから流行れば嬉しいのだけど、そこはやはりタマゴとニワトリ？