相关意识淡漠 Web 20安全何日引重视
随着诸多SNS网站的强大,Web 2.0对一般人也已不再是一个陌生的词汇了。而长期以来一直与Web 2.0形影相随的风险安全问题,尽管早在四年前SPI Dynamics Web安全专家首席工程师Billy Hoffman就曾呼吁:“大家都全心拥抱Web 2.0这个热朝,把它和Web应用兜在一起,但他们根本没有考虑到安全的问题,不知道这样会置使用者于何种风险之下”,但今天看来Web 2.0的安全问题并没有得到多大的改善。
Web 2.0其实没有精准的定义,但我们不得不说,Web 2.0是一项危险性的技术。这不仅因为Web 2.0让更多的人参与到内容制作和应用推广上,还在于它的支撑技术就带有相当的危险性。
AJAX是实现更炫更互动网页的主要技术,Google推出的Google Maps是第一批向世人展示AJAX开发效果的网站之一,它让使用者可以用鼠标把地图移到屏幕上任何一处。但人们也许没有明白,AJAX的“功能”不只是把网页变得更互动而已,它同时也提供了黑客整垮Web服务器,攻击使用者的渠道。
业界著名的安全专家Hoffman当年曾做过一个贴切的比喻:“我们可以用房子来比喻,传统网站好比一幢没有窗子、只有一扇门的房子,而AJAX网站则是一个有数不清窗子和旋转门的房子,尽管你在前后大门上加了最安全的锁,但我还是可以从窗口钻进去。”
更要命的是,Web 2.0的演化使得所有的网络计算核心被从客户端拿到网络端,客户机最终只是扮演纯粹的浏览界面的角色,而所有的核心数据、核心的处理全部都在网络端。另一方面,网络内容来源控制分散化,网络应用逐步蚕食掉现有桌面应用,而用网络的方式来实现。
也许我们可以用一个有些过份的比喻来说明这一切:你被迫把所有的鸡蛋放在了一处篮子里,而试图打翻你篮子的坏蛋的攻击手法却在成倍增长。
在这种情况下,敏感隐私数据泄露途径正在增多,以前可能只存在你的电脑上,而现在却存在服务器上,可以在你的通讯途中被窃取。而这些应用的方式,这些数据对你是如此的重要。数据依赖已经导致了安全风险被放大,一个安全风险现在可能就可以影响海量用户。
然而,尽管人们已经意识到了Web 2.0的凶险,还是会有相当一部分人认为风险离他们很远,另一部分人虽然体会到了风险的存在,但只是在心底隐隐感受到压力却根本无力解决。
Websense在2009年5月曾发布一项专门针对包括中国在内的10个国家的1300名IT经理所做的全球调查报告,报告内容主要涉及被访对象对Web2.0当前态势的感知。
报告显示,95%的企业目前允许员工访问Web2.0网站和应用,最常见的是Web邮件、交互式Web应用和等。62%的IT管理者认为Web2.0应用对其业务的开展很有必要。
但另一方面,Websense的报告还显示:许多企业已开放了Web2.0的网站和应用,但却忽视一个危险的安全漏洞的存在。尽管大多数受访者承认他们没有部署必要的安全解决方案以防范各种威胁攻击,但仍对其企业的Web安全状况信心十足。不仅如此,大量的受访者不清楚Web2.0的构成以及 Web2.0如何对企业的安全构成威胁。
更糟的是,报告用一系列的数据得出一个结论:尽管真实的数字显示人们根本无力防护Web2.0安全威胁,仍有80%的受访者对其企业当前所处的安全状况表示自信。
现在距离Websense发布报告又已过去了一年的时间,现在的情况如何呢?Check Point软件技术公司最近与Ponemon学院携手进行了一项名为“工作场所中的Web 2.0 安全“的调查,访问了美国、英国、澳大利亚、法国及日本的2,100 名IT专家和从业人员,探讨他们对公司使用Web 2.0应用的风险及应对方法的看法。
调查的结果同样让人吃惊:在美国、英国籍澳大利亚的受访者中,分别有52%、49%及48%相信其公司的最终用户在进行商业通信时很少注意,甚至永远不会考虑有关的安全问题。而在法国及日本的受访者中,分别有22% 及24%有这样的看法。
而对于在工作单位中谁应负责确保互联网应用的安全使用这个问题,调查显示超过半数的美国、英国及澳大利亚受访者认为企业中首要负责减少Web 2.0 安全风险的群体应该是最终用户,然后才是企业信息安全负责人及企业技术负责人(CIO)。在法国,最多的受访者认为人力资源部应该负责降低Web 2.0 环境的安全风险,随后是信息安全人员,而日本的受访者认为公司的法规部门及IT部门应该负责这方面的工作。
在调查结果中,最危险的一项也许莫过于这条消息了:在设法降低Web 2.0应用风险的方面,美国及日本的受访者认为这方面的工作非常重要,而很多澳大利亚及英国受访者对此不以为然,觉得可待未来两年至5年才处理。有63% 的法国受访者不太在意Web 2.0应用带来的安全威胁。
实际上,我们不得不承认一个事实:我们对Web 2.0 环境的安全风险的防范,与Web 2.0刚刚兴起时相比,也许并没有本质上的差异。
翻本中国计谋学的传世之作——《三十六计》的第一页,我们也许已能惊异于古人对我们的训诫:备周则不怠,常见则不疑,太阴,太阳。
也许,对于Web 2.0,最可怕的莫过于我们对它带来的安全风险所持有的麻木态度了。
汇聚璀璨星光,碰撞智慧与激情。6月21日-23日,HDC 2024华为开发者大会与你相约松山湖。
在技术创新和市场策略的双重驱动下,智能手机行业有望迎来更强劲的增长。手机厂商应持续关注技术进步,优化市场策略,以进一步激发市场活力和消费潜力,助力行业持续复苏和繁荣。
不管从何种角度来看,2024年的618可能都是史上“最惨”的一届「年中狂欢」。
有消息称,苹果正在积极探索与中国本土企业的合作机会,已与多家中国公司进行了接触,包括百度、阿里巴巴以及人工智能初创公司百川智能等,以实现本土化AI功能。
6月21日,一加官宣,将于6月27日晚7点正式举办夏季性能生态新品发布会,届时将发布一加Ace 3 Pro手机以及手表、耳机等新品。
华为鸿蒙智行对外表示,问界新M7 Ultra上市20天大定破3万台,此前,鸿蒙智行还透露,问界新M7 Ultra上市18天交付破1万台,创造中国新势力车型交付纪录。
极米投影在本届618期间取得了京东投影机类目GMV&销量第一、天猫投影机类目GMV&销量第一和抖音投影机类目GMV&销量第一的出色数据,这也是极米连续第十一年获得冠军。
据消息人士透露,骁龙8 Gen4的首发机型已经确定为小米15系列,该机大概率会在10月底发布。球速体育官方入口
上一篇:前端请求大比拼:Fetch、Axios、Ajax、XHR
栏 目:AJAX
本文标题:相关意识淡漠 Web 20安全何日引重视
本文地址:http://aihaoedu.com/wangluobiancheng/690.html
您可能感兴趣的文章
- 10-27将网络操作系统变成现实 ajaxWindows正式上线
- 10-27AJAX的应用
- 10-27jquery-django项目的csrf保护导致ajax请求返回403
- 10-27Ajax的使用方法和原理讲解
- 10-27总结Ajax的用法
- 10-26Spring Cloud + Vue 前后端分离
- 10-26vue中怎么引入layui
- 10-26vue怎么动态引入img标签
- 10-26Web前端:确保项目成功的10大Web开发框架
- 10-26vue监听滚动事件如何实现滚动监听
阅读排行
推荐教程
- 10-12期货投资新手如何入门?
- 09-03明日之后第三季新手任务怎么过 第三季教程剧情彩蛋详解
- 09-19iPhone 16最大的卖点竟是苹果花钱买来的?!
- 10-09XTools十周年十大里程碑事件
- 07-18P2P到底是什么意思
- 09-14Java EE轻量级框架整合开发教与学(教案+大纲+源码+PPT+视频彭之军)
- 09-25世界这么大 为嘛这的西瓜能过生日
- 10-09ajax基本用法
- 08-0690%中国人都会读错的5个汽车名词你能读对几个?
- 08-11AJAX新技术借力Web应用增长 催生在线版Office