Organizações considerando usar tecnologias Asynchronous Javascript and XML (AJAX) para criar sites dinâmicos precisam ter certeza que não estão abrindo portas inadvertidamente para outras aplicações de segurança, segundo analistas.

"O AJAX é uma combinação de Javascript e XML. Ambos têm problemas de segurança que o AJAX ajuda a amplificar", revela Jason Bloomberg, analista da ZapThink LLC, consultoria de segurança especializada em serviço online, citando ameaças como integração de múltiplos scripts em páginas e ataques do tipo "negação de serviço".

Um exemplo neste sentido foi o worm de infecção em massa Yamanner, que se aproveitava de um erro de múltiplos scripts no Yahoo! Mail para infectar milhares de usuários. A praga chegava aos e-mails com o assunto "New Graphic Site" e era ativado simplesmente após sua leitura pelo usuário.

O worm usava funções Javascript no navegador do usuário para acessar o serviço de e-mail do portal e tomar atitudes em nome do usuário, como se reenviar para a lista de contatos. Tais ameaças podem ser amplifica em serviços online construídos em AJAX se os cuidados específicos não foram tomados para validar autorizações vindas do navegador, diz Billy Hoffman, engenheiro de pesquisas da empresa de segurança SPI Dynamics.

O AJAX é uma técnica de programação que permite que companhias tornem suas páginas mais interativas para que usuários insiram dados que, em sites feitos com HTML, precisariam que a página fosse recarregada novamente.

Para tantos, o servidor troca pequenos pacotes de informação com os navegadores, pelas linguagens XML e Javascript.

"Com o uso de AJAX, você tem muito mais informações trocada que precisa ser validada" no servidor comparada a sites tradicionais, construídos em HTML, disse ele. "Ao usar a linguagem, você abre muito mais portas naquela aplicação se você não garantir a segurança dos dados inseridos pelo usuário, o potencial de problemas cresce".

Ambientes em AJAX, por exemplo, podem oferecer mais oportunidades para que hackers lancem ataques de injeções de SQL, em que aplicações online usam dados inseridos pelo usuário para executar buscas em bancos de dados. O uso da linguagem dá mais oportunidades que hackers injetem buscas mal-formadas de SQL e comprometam aplicação se os processos de validação corretos não forem aplicados, diz ele.

"O principal problema é que o AJAX envolve novas abordagens em oferecer funcionalidades na interface do navegador”, analisa Bloomberg. "Por isto, desenvolvedores estão mais propensos a errar onde tradicionalmente eles saberiam como construir um site seguro".

Empresas precisam estar cientes de tais riscos, de acordo com Tim Farmer, diretor do tipo de arquitetura de software da Choice Homes. No momento, porém, "os benefícios que você ganha da linguagem AJAX compensam o risco - desde que o usuário decida quais informações serão expostas pela aplicação", contesta.