Ajax, aussi, expose les entreprises à des risques de sécurité. A l'occasion de l'AjaxWorld Conference, David Boloker, fondateur de l'OpenAjax Alliance (*) et CTO chez IBM, interviewé par nos confrères d'Infoworld, a pointé du doigt les menaces que constituent les services d'agrégation de contenu exogène (ou mashup) pour les systèmes d'informations. Les "mashup", symbole de l'avènement du très en vogue Web 2.0, sont des sites Internet permettant à l'internaute de fédérer et syndiquer du contenu provenant de sources extérieures, en s'appuyant sur l'éventail des technologies couvertes par Ajax, notamment Javascript, DOM, et CSS. Pour David Boloker, ce principe représente deux dangers : un premier très connu, représenté par le scripting côté serveur, et dont on peut se protéger. Le second, davantage lié à une brique fondamentale d'Ajax, Javascript, qui nécessite une exécution sur le poste client. "Si vous créez des mashup à partir de sources internes ou de partenaires - des sources de confiance -, les mashup sont sécurisés. Le problème intervient surtout quand on crée des agrégations entre ma société et une personne inconnue, qui peut soit injecter du code Javascript malformé, soit essayer de prendre le contrôle de ma machine. Comment alors sécuriser les mashup en autorisant ou non leur accès ?" Un problème que l'OpenAjax Alliance compte par ailleurs résoudre en travaillant en collaboration avec ses membres et le W3C. Encore trop de développeurs inexpérimentés Plus globalement, les problèmes de sécurité ne seraient pas uniquement liés au fonctionnement de Javascript, mais également à l'immaturité des développements provoqué notamment par un manque d'expérience de certains développeurs. "Si les projets de mashup ont abouti grâce à des développeurs chevronnées, certaines personnes développent en Javascript sans savoir comment écrire le code. Et dans le cas de mashup, cela peut être catastrophique", note-t-il. Un manque de repère, en somme, que le consortium prévoit de combler courant 2007 avec OpenAjax Hub, sa première implémentation de référence du modèle de programmation Ajax (*)L'OpenAjax Alliance est un consortium créé en février 2006 qui rassemble l'essentiel des grands acteurs du secteur (dernier en date, Sun) dont l'objectif est de développer et de promouvoir l'utilisation des technologies de clients riches Ajax (Asynchronous JavaScript and XML).
OpenAjax se méfie des mashup exogènes
0
Réaction
Le consortium OpenAjax Alliance pointe du doigt à l'occasion de l'AjaxWorld Conference les dangers des "mashup", symbole du Web 2.0 et d'Ajax. Exécution Javascript non-contrôlées et immaturité des développeurs sur le banc des accusés.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire