AJAX (Asynchronous Java and XML) ist eine Programmiertechnik, mit der man bessere interaktive Internet-Anwendungen bauen kann. Der Clou: Mit AJAX werden bei einer Anfrage an einen Server nur bestimmte Teile einer Webseite neu geladen. Ein bekanntes Beispiel für eine AJAX-Anwendung ist Google Calendar oder Gmail.

Nun will die US-Sicherheitsfirma Fortifiy eine grössere Sicherheitslücke in den meisten AJAX-Entwicklungsumgebungen entdeckt haben. Die Lücke tritt auf, wenn man statt XML oder HTML das Format JSON von JavaScript für den Transport der Daten verwendet. Ein normaler Webbrowser prüft nämlich bei HTML-Daten, ob diese auch vom angefragten Server kommen ("same origin policy"), bei JSON macht er das nicht.

Damit könnte ein Angreifer theoretisch einen Surfer, der bereits auf einer AJAX-Seite (z.B. Gmail) eingeloggt ist, auf eine manipulierte Seite locken, die bösartigen Code in JavaScript enthält. Dieser würde dann als legitimierter Anwender getarnt Anfragen an den Server senden und die zurückgesandten Daten stehlen. Vorstellbar ist also, dass der Angreifer den Inhalt einer Mailbox ausspioniert, eine persönliche Seite bei XING manipuliert oder - je nach mit AJAX entwickelter Applikation - sogar Transaktionen ausführt. Die Leute von Fortify nennen das Verfahren "JavaScript Hijacking".

Gemäss Fortify bieten verschiedene bekannte Entwicklungswerkzeuge für AJAX-Anwendungen wie Microsoft Atlas, XAJAX oder Google Web Toolkit keinen Schutz vor der Entwicklung von potentiell gefährlichen Anwendungen. Man erwartet aber, dass die Frameworks bald mit Vorbeugemassnahmen arbeiten werden. Doch AJAX-Anwendungen werden oft ohne Hilfe eines Frameworks entwickelt, was die Sache potentiell gefährlicher macht. Die Sicherheitsfirma hat ein ausführliches Papier veröffentlicht, in dem die potentiellen Lücken erklärt werden. (Christoph Hugenschmidt)