Web 2.0讓網路世界更友善,更生活化,包括更多的網路社群、部落格、混搭式網站(mashups)與互動式服務使網站瀏覽更為方便愉快。這邊有兩個Web 2.0重要的觀念企業資安長(CISO)必須要瞭解。第一點是網站開始有豐富的使用者界面(AJAX,Adobe/Flex),另一點是資料由出版-消費的閱讀模式轉向以社群模式發佈。而此兩點有嚴重的安全問題。
是的,但僅止於你正好負責商業或企業Web 2.0環境的安全機制。不過,因為我們70年代購買的數據伺服器移植到80年代和90年代的豐富的使用者界面系統上,雖然給我們更多的運算與處理能力,但也讓我們身處在更複雜和脆弱的電腦環境中。
我們必須處理多樣的使用者界面的問題,包括病毒、特洛伊木馬程式、人為中間攻擊、偷聽、重覆攻擊、流氓伺服器和其它攻擊方式。這些全部可能發生在Web 2.0 mashup的界面,而這些界面為許多使用者提供服務。
此外,使用者社群對機敏資料的態度從不感興趣轉變為忽略資料的重要價值。使用者樂意在MySpace,Facebook,LinkedIn上和Twitter社群中公佈自己的詳細資料,包括關於他們的工作與專業的細節(甚至是他們的個人生活),任何人皆可輕易的取得這些私密資料。
問題對於安全專業人員很是明顯︰因為更多的複雜性和開放性產生了漏洞與攻擊機會,進而造成私密資料洩漏。為了保持IT環境安全,安全專業人士一定要對這些頭痛的結果有所警惕。
雖然一些公司已經嘗試採取對應作為,但除非你能寫客製化的瀏覽器,不讓使用者採用市面上流通的瀏覽器,或者限制在他們在非Web界面的PC上完成所有的動作,否則安全性的控管無所避免。我們建議幾個步驟可以協助企業大大提升使用Web 2.0 的安全性。
何時部署豐富的使用者界面:
Fortify公司在教育Web 2.0開發人員有關於安全弱點方面,一直居於領導者的角色。Fortify的資源中心發佈的最新軟體風險與漏洞通報,協助企業以最佳範例解決企業的軟體安全開發問題。Fortify產品讓Web 2.0元件提供者能夠證實並記錄軟體安全性。Fortify確保讓您瞭解最新安全弱點,並保護系統安全。