JavaScript大师：网路开发技术发展应该更重安全 文/苏文彬 (记者) 2010-04-23 由於当前技术仍偏向功能强化为主要思维，指令码趋向庞杂的结果，容易产生更多安全漏 洞，且失去快速因应攻击调整架构的灵活性。 身为JavaScript网路技术重要推手的雅虎（Yahoo!）架构设计师Douglas Crockford表示 ，现行网页开发技术思维仍偏重多媒体功能或浏览效能的提昇，未来应以安全为第一优先 。 Crockford现为Yahoo!资深JavaScript架构师，负责YUI（Yahoo! User Interface）的架 构设计，并且担任ECMA JavaScript 2.0技术委员会成员，为JavaScript开发社群大师级 人物，此次受邀来台参加OSDC（Open Source Developer's Conference Taiwan）进行专 题演讲，向国内开发者介绍ECMA JavaScript的发展。 Crockford向媒体阐述网路技术发展时指出，当前的网路技术仍然不脱过去的思维，网页 开发技术仍以功能强化、浏览网页效能提昇为主，虽然强化了网路开发的丰富性，但未将 网路安全列为开发优先考虑因素的结果，致使网路安全事件层出不穷。 延续过去网路开发思维的结果，现今网路技术强调强大的互动、多媒体功能，但也让一些 攻击手法兴起，以XSS（Cross-Site Scripting）为例，由於内嵌多个不同来源的指令码 ，容易让骇客藉指令集趁虚而入，窃取用户端电脑的资料。 虽然也有新的技术，如Google推动的Caja，用以防范XSS跨站攻击手法，但整体技术发展 方向仍是朝功能、效能提昇前进。 以HTML 5技术为例，Crockford表示，虽然HTML5增加了许多功能，但让整个指令码变得更 为庞大且复杂，容易产生漏洞遭到攻击；另外，支援存取使用者电脑、手机的终端资料， 将资料被窃的安全风险扩大至手机上，而过於庞大复杂的结果，不容易因应日新月异的攻 击手法改变，长期而言易形成安全风险。 对於当前浏览器业者形成速度竞赛，纷纷强化JavaScript引擎加速网页浏览速度，号称最 快的浏览速度，他认为，浏览器加速网页浏览速度虽是好事，但这样改善方式有限，只在 5至10%的终端浏览器部份加速，若能同时改善伺服器端，加速的效果更大。 对於制定中的新标准ECMA Script 5，他乐观预期未来将成为主要的网路开发标准，虽然 Apple、Chrome还不明确，但包括IE、FireFox、Opera都倾向ECMA Script 5，今年应会看 到新的浏览器采用。 http://www.ithome.com.tw/itadm/article.php?c=60835 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 123.194.186.96