由於目前技術仍偏向功能強化為主要思維,指令碼趨向龐雜的結果,容易產生更多安全漏洞,且失去快速因應攻擊調整架構的彈性。
身為Javascript網路技術重要推手的雅虎(Yahoo!)架構設計師Douglas Crockford表示,現行網頁開發技術思維仍偏重多媒體功能或瀏覽效能的提升,未來應以安全為第一優先。
Crockford 現為Yahoo!資深JavaScript架構師,負責YUI(Yahoo! User Interface)的架構設計,並且擔任ECMA JavaScript 2.0技術委員會成員,為JavaScript開發社區大師級人物,此次受邀來台參加OSDC(Open Source Developer's Conference Taiwan)進行專題演講,向國內開發者介紹ECMA JavaScript的發展。
Crockford向媒體闡述網路技術發展時指出,目前的網路技術仍不脫過去的思維,網頁開發技術仍以功能強化、瀏覽網頁效能提升為主,雖然強化了網路開發的豐富性,但未將網路安全列為開發優先考慮因素的結果,致使網路安全事件層出不窮。
延續過去網頁開發思維的結果,現今網路技術強調強大的互動、多媒體功能,但也讓一些攻擊手法興起,以XSS(Cross-Site Scripting)為例,由於內嵌多個不同來源的腳本,容易讓駭客借指令集趁虛而入,竊取用戶端電腦的資料。
雖然也有新的技術,如Google推動的Caja,用以防範XSS跨站攻擊手法,但整體技術發展方向仍是朝著功能、效能提升前進。
以HTML 5技術為例,Crockford表示,雖然HTML5增加了許多功能,但讓整個腳本變得更為龐大且複雜,容易產生漏洞遭到攻擊;另外,支援存取用戶電腦、手機的終端數據,將資料被竊的安全風險擴大至手機上,而過於龐大複雜的結果,不容易因應日新月異的攻擊手法改變,長期而言易形成安全風險。
對於目前瀏覽器業者形成速度競賽,紛紛強化JavaScript引擎加速網頁瀏覽速度,號稱最快的瀏覽速度,他認為,瀏覽器加速網頁瀏覽速度雖是好事,但這樣改善方式有限,只在5至10%的終端瀏覽器部份加速,若能同時改善伺服器端,加速的效果更大。
對於制定中的新標準ECMA Script 5,他樂觀預期未來將成為主要的網頁開發標準,雖然Apple、Chrome還不明確,但包括IE、FireFox、Opera都傾向ECMA Script 5,今年應會看到新的瀏覽器應用。