Veamos qué significa AJAX: Javascript asíncrono y XML. Aunque hoy en día, el XML ha sido reemplazado principalmente por JSON ya que es más compacto y más fácil de leer para los humanos (generalmente).
AJAX es básicamente un medio por el cual una página web (que se muestra en su navegador web) puede actualizar pequeñas porciones de sí misma con “datos en vivo” del servidor web en segundo plano, sin tener que volver a cargar toda la página. Incrustado dentro de la página web HTML hay algunos Javascript que pueden tener algunos hilos activos que se ejecutan en segundo plano y / o algunas funciones inactivas que están listas para ejecutarse en función de un modelo controlado por eventos (actividad del teclado o del mouse dentro de la página web actualmente cargada) ) En algún momento, el Javascript volverá a conectarse al servidor web (el mismo servidor desde el que se cargó la página). Por lo general, enviará algunos datos al servidor web (cookie de autenticación de sesión, quizás algún texto de campo de formulario ingresado por el usuario para guardar en el servidor, tal vez una solicitud para actualizar los valores de campos de visualización específicos en la página), y lo hará a través de una solicitud HTTP (o una solicitud HTTPS). Por lo general, si la página web se cargó usando una URL HTTPS (que es más segura), la llamada AJAX al servidor también usará una URL HTTPS para su solicitud detrás de escena. Pero no hay garantía de esto; un programador de sitio web descuidado puede haber implementado una o más llamadas AJAX utilizando HTTP no cifrado e inseguro (quizás debido a un error tipográfico).
Siempre que las llamadas AJAX al servidor utilicen el mismo nivel de seguridad (encriptación durante el tránsito, cookie de autenticación de sesión) que la página web cargada, no debe representar una amenaza de seguridad adicional para el servidor o el cliente (navegador web ) Es simplemente otra solicitud web (como abrir una nueva pestaña o una nueva ventana), excepto que ocurre en segundo plano. Si la llamada AJAX fuera a usar un protocolo menos seguro que la página web cargada (quizás HTTP no encriptado en lugar de HTTPS encriptado), entonces podría exponer la cookie de autenticación de sesión y otros datos confidenciales específicos de esa página web al rastreo de paquetes de red en cualquier lugar entre máquinas cliente y servidor en Internet.
- ¿Para qué sirve el archivo aircrack-ng.c en la fuente integrada de aircrack-ng?
- ¿Qué son las cadenas de archivos y cómo son indicativas de malware?
- ¿Qué es la autenticación delegada y cuáles son sus aplicaciones?
- ¿Qué sucede si un virus informático ataca su computadora portátil?
- ¿Qué es una buena universidad para la ciberseguridad informática?
Casi todos los sitios web populares de redes sociales y comercio electrónico hacen un uso extensivo de AJAX. No he escuchado nada en las noticias (dentro de la comunidad de seguridad de TI) que pueda sugerir que dejemos de usar AJAX debido a una falla de seguridad fundamental inherente. Mientras las implementaciones de las llamadas AJAX se hayan codificado correctamente, no debería preocuparse por las amenazas de seguridad introducidas por ellas.
