Kasvavasta tietoturvariskistä ovat ulkomaisilla foorumeilla asti käyneet varoittelemassa Joonas Lehtinen ja Sami Ekblad IT Mill Oy:stä - jonka oma ria (rich internet applications) -tekniikka perustuu palvelimella ajettaviin ohjelmiin, joista näytetään selaimelle vain tulokset. Tällainen 'server side ria' on keskitettynä helpompi hallita ja turvallisempi.

Joonas Lehtinen kävi marraskuussa varoittelemassa aiheesta W-JAX -tapahtumassa Münchenissä. Sami Ekblad puolestaan on herätellyt (pdf) suomalaisia muun muassa Tieken tilaisuudessa.

Selaimelle viety koodi
on kaikkien katsottavissa

Ajax-, Flash- ja vastaavat teknologiat siirtävät suuren osan logiikasta käyttäjän selaimelle tai siihen asennetulle plug-inille. Ja koodin ajaminen client-päässä avaa hyökkääjälle mahdollisuuksia, joita monimutkaistuvissa verkkosovelluksissa on vaikea ennakoida.

– Yhä kriittisemmistä järjestelmistä jatkuvasti kasvava osa on selaimessa suoritettavaa javascript-koodia, joka on kaikkien käyttäjien analysoitavissa. Koodista löytyvien vikojen hyväksikäyttö on paljon helpompaa kuin ennen, jolloin ohjelmakoodi oli kokonaan piilossa ja muutoksilta suojassa palvelimilla, Joonas Lehtinen sanoo.

Ria-sovelluksissa on tyypillisesti myös runsaasti erilaisia rajapintoja tietokantoihin ja muihin taustaohjelmiin.

Logiikan siirto palvelimelta selaimiin muuttaa ohjelmistoja monimutkaisemmiksi ja lisää tietoturvavirheiden mahdollisuutta.

– Jos logiikka sijaitsee palvelimella ja se hoitaa kommunikoinnin tietokantojen ja muiden sovellusten kanssa, niin usean verkkoon avoimen rajapinnan sijasta selvitään yhdellä helpommin suojattavalla rajapinnalla.

Viaton Flex ei estä
ohjelmoijan virheitä

Mutta eivätkö selainpohjaisen ria:n työkalutoimittajat ja niiden käyttäjät ole ampuneet alas itmilliläisten argumentteja oman lehmän ojassaoloonkin vedoten?

– Vielä ei ole "vastapuolelta" kuulunut vastikkeita - keskustelu ei vielä ole kasvanut riittävän äänekkääksi, että esimerkiksi Adobella olisi ollut tarvetta lähteä puolustelemaan tuotteensa tietoturvaa. Tällä hetkellä paljolti siis client side ria:n vaaroista kertovat ovat maailmanlopun profeettoja, toimitusjohtaja Joonas Lehtinen vastaa.

Erityisen mielenkiintoiseksi tilanteen tekee Lehtisen mielestä se, että Adoben Flexissä sinällään ei ole mitään vikaa.

– Vika on siinä, että sen käyttö ei estä ohjelmistokehittäjiä tekemästä tyhmyyksiä.

IT Mill ei Lehtisen mukaan ole varoituskelloja kilkattamassa yksin tai edes ensimmäisenä. Esimerkiksi nykyisin HP:n tietoturvalaboratoriossa vaikuttava Billy Hoffman on kiertänyt maailmalla paljonkin varoittelemassa aiheesta. Hän on myös kirjoittanut aiheen tiimoilta jo pari vuotta sitten kirjan Ajax Security (Addison Wesley 2007).

– IT Mill on ennemminkin laulanut varoittajien kuorossa, koska meillä sattuu olemaan ongelmaan ratkaisu. Toki maailmalla kaikki server side -tekniikat ovat jossain määrin ratkaisuita asiaan, joten myöskään ratkaisumme kanssa emme ole yksin. Kilpailijoista paras lienee omaa teknologiaamme laajemmin käytössä oleva ICE Faces, joka voidaan myös luokitella server-side ria:ksi, Lehtinen sanoo.