Lue uutinen mobiilisivustolla

Rikastuvat selainsovellukset lisäävät tietoturvariskiä

Sami Ekblad (vas.) ja Joonas Lehtinen varoittavat selainpohjaisten ria-sovellusten vaaroista.

26.3.2009 11:32 Selainkäyttöiset sovellukset lisääntyvät hurjaa vauhtia. Kun niitä rikastetaan käyttäen niin sanottuja ria-tekniikoita, saatetaan samalla lisätä tietoturvariskejä.

Kasvavasta tietoturvariskistä ovat ulkomaisilla foorumeilla asti käyneet varoittelemassa Joonas Lehtinen ja Sami Ekblad IT Mill Oy:stä - jonka oma ria (rich internet applications) -tekniikka perustuu palvelimella ajettaviin ohjelmiin, joista näytetään selaimelle vain tulokset. Tällainen 'server side ria' on keskitettynä helpompi hallita ja turvallisempi.

Joonas Lehtinen kävi marraskuussa varoittelemassa aiheesta W-JAX -tapahtumassa Münchenissä. Sami Ekblad puolestaan on herätellyt (pdf) suomalaisia muun muassa Tieken tilaisuudessa.

Selaimelle viety koodi
on kaikkien katsottavissa

Ajax-, Flash- ja vastaavat teknologiat siirtävät suuren osan logiikasta käyttäjän selaimelle tai siihen asennetulle plug-inille. Ja koodin ajaminen client-päässä avaa hyökkääjälle mahdollisuuksia, joita monimutkaistuvissa verkkosovelluksissa on vaikea ennakoida.

– Yhä kriittisemmistä järjestelmistä jatkuvasti kasvava osa on selaimessa suoritettavaa javascript-koodia, joka on kaikkien käyttäjien analysoitavissa. Koodista löytyvien vikojen hyväksikäyttö on paljon helpompaa kuin ennen, jolloin ohjelmakoodi oli kokonaan piilossa ja muutoksilta suojassa palvelimilla, Joonas Lehtinen sanoo.

Ria-sovelluksissa on tyypillisesti myös runsaasti erilaisia rajapintoja tietokantoihin ja muihin taustaohjelmiin.

Logiikan siirto palvelimelta selaimiin muuttaa ohjelmistoja monimutkaisemmiksi ja lisää tietoturvavirheiden mahdollisuutta.
Kuva: IT Mill @ W-JAX 2008

– Jos logiikka sijaitsee palvelimella ja se hoitaa kommunikoinnin tietokantojen ja muiden sovellusten kanssa, niin usean verkkoon avoimen rajapinnan sijasta selvitään yhdellä helpommin suojattavalla rajapinnalla.

Viaton Flex ei estä
ohjelmoijan virheitä

Mutta eivätkö selainpohjaisen ria:n työkalutoimittajat ja niiden käyttäjät ole ampuneet alas itmilliläisten argumentteja oman lehmän ojassaoloonkin vedoten?

– Vielä ei ole "vastapuolelta" kuulunut vastikkeita - keskustelu ei vielä ole kasvanut riittävän äänekkääksi, että esimerkiksi Adobella olisi ollut tarvetta lähteä puolustelemaan tuotteensa tietoturvaa. Tällä hetkellä paljolti siis client side ria:n vaaroista kertovat ovat maailmanlopun profeettoja, toimitusjohtaja Joonas Lehtinen vastaa.

Erityisen mielenkiintoiseksi tilanteen tekee Lehtisen mielestä se, että Adoben Flexissä sinällään ei ole mitään vikaa.

– Vika on siinä, että sen käyttö ei estä ohjelmistokehittäjiä tekemästä tyhmyyksiä.

IT Mill ei Lehtisen mukaan ole varoituskelloja kilkattamassa yksin tai edes ensimmäisenä. Esimerkiksi nykyisin HP:n tietoturvalaboratoriossa vaikuttava Billy Hoffman on kiertänyt maailmalla paljonkin varoittelemassa aiheesta. Hän on myös kirjoittanut aiheen tiimoilta jo pari vuotta sitten kirjan Ajax Security (Addison Wesley 2007).

– IT Mill on ennemminkin laulanut varoittajien kuorossa, koska meillä sattuu olemaan ongelmaan ratkaisu. Toki maailmalla kaikki server side -tekniikat ovat jossain määrin ratkaisuita asiaan, joten myöskään ratkaisumme kanssa emme ole yksin. Kilpailijoista paras lienee omaa teknologiaamme laajemmin käytössä oleva ICE Faces, joka voidaan myös luokitella server-side ria:ksi, Lehtinen sanoo.

Jarmo Lahti toimitus@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kirjoita kommentti

Kommentit (10)

0

0

" Yhä kriittisemmistä järjestelmistä jatkuvasti kasvava osa on selaimessa suoritettavaa javascript-koodia, joka on kaikkien käyttäjien analysoitavissa. Koodista löytyvien vikojen hyväksikäyttö on paljon helpompaa kuin ennen, jolloin ohjelmakoodi oli kokonaan piilossa ja muutoksilta suojassa palvelimilla, Joonas Lehtinen sanoo".
Miksi javascriptiä täytyy joka paikkaan tunkea kun kerran tiedetään sen aiheuttamat ongelmat? Käyttöjärjestelmien ja selainten(sovellusohjelmat) ominaisuuksien "paisuttajat" lienee suurin syyllinen tietoturva haavoittuvuuksiin. Mammuttikokoisia ohjelmistoja ei enää hallita.

pieni on kaunista (myös ohjelmissa)

Lainaa Ilmoita asiaton viesti

# 26.3.2009 11:53

8

4

Itse olen ihmetellyt tätä intoa tunkea kaikki nettiselaimeen pyöriväksi (lue: Intenet Explorer only)? Selain ei ole tehty sovelluksia varten ja sen kyllä huomaa, on vaikeata ja kallista ja käyttäjäkokemus on surkeaa. Nyt on sitten keksitty MS Silverlight ja Adoben Flex -tyylisiä plugin-ratkaisuja jotka mielestäni vasta naurettavia ovatkin! Mihin selainta enää sitten oikeasti tarvitaankaan, halloo!?

Ohjelmistot pois selaimista

Lainaa Ilmoita asiaton viesti

# 26.3.2009 13:22

4

202

IE8 näyttää mallia, että tietoturvaa voidaan kyllä parantaa ihan selainta OIKEIN kehittämällä ja kaikki palvelut silti saatavilla.

SilverBill

Lainaa Ilmoita asiaton viesti

# 26.3.2009 14:19

4

2

" Yhä kriittisemmistä järjestelmistä jatkuvasti kasvava osa on selaimessa suoritettavaa javascript-koodia, joka on kaikkien käyttäjien analysoitavissa. Koodista löytyvien vikojen hyväksikäyttö on paljon helpompaa kuin ennen, jolloin ohjelmakoodi oli kokonaan piilossa ja muutoksilta suojassa palvelimilla, Joonas Lehtinen sanoo".
Miksi javascriptiä täytyy joka paikkaan tunkea kun kerran tiedetään sen aiheuttamat ongelmat? Käyttöjärjestelmien ja selainten(sovellusohjelmat) ominaisuuksien "paisuttajat" lienee suurin syyllinen tietoturva haavoittuvuuksiin. Mammuttikokoisia ohjelmistoja ei enää hallita.

Niinpä. Pyöräytetäänpä 3D-tauhkaakin vielä varmuuden vuoksi selainikkunassa. Hyvä tulee joo.

Odin

Lainaa Ilmoita asiaton viesti

# 26.3.2009 15:59

1

2

Heh,

Hyvä läppä kavereilta. Käyttäjän syöte pitää aina tarkastaa oli selaimessa koodia tai ei. Jos javascript sisältää sellaista koodia, joka vaarantaa sovelluksen tietoturvan, niin kannattaa hankkia turvallisemman koodin kirjoittamisen taito.

viaton sivustakatsoja

Lainaa Ilmoita asiaton viesti

# 26.3.2009 18:32

2

1

Tauhkaantuvat selainsovellukset lisäävät tietoturvariskiä

FTFY

Lainaa Ilmoita asiaton viesti

# 26.3.2009 20:10

192

2

IE8 on tosin täyttä roskaa tietoturvan osalta.

SilverBill

Lainaa Ilmoita asiaton viesti

# 26.3.2009 20:26

2

0

"Vika on siinä, että sen käyttö ei estä ohjelmistokehittäjiä tekemästä tyhmyyksiä". Selvää tekstiä ohjelmakoodarien taidosta. He lisäävät ominaisuuksia liiaksi ja sitten eivät enää itsekään hallitse tehtyä "koodimammuttia". Terve muistutus tässäkin olisi "pieni on kaunista". Tekisivät vain sen verran koodia mitä todella hallitsisivat. Jos osaaminen ei riitä ei pidä yrittää enempää.

turhia lisäyksiä ilman osaamista

Lainaa Ilmoita asiaton viesti

# 27.3.2009 8:39

1

0

Tekisivät vain sen verran koodia mitä todella hallitsisivat.

Eikä sitäkään ellei ole ihan pakko.

Lainaa Ilmoita asiaton viesti

# 27.3.2009 16:49

1

0

"Selvää tekstiä ohjelmakoodarien taidosta."

Mikä ihme on "ohjelmakoodari"?

Päivän muotisana

Lainaa Ilmoita asiaton viesti

# 30.3.2009 12:14

Sivut: 1 Edellinen Seuraava

Kirjoita vastaus

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Poliisi: Ajatus ampumisesta tuli vain hieman ennen veritekoa

• Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita
• Hyvinkään ampumisissa haavoittuneet leikattu – naispoliisi yhä kriittisessä tilassa
• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"