L’avvento della tecnica di sviluppo Ajax era stato salutato dai giganti del Web come una rivoluzione. In effetti permette di sviluppare applicazioni Web interattive più efficienti: le richieste ai server online vengono razionalizzate con effetti benefici sulla velocità operativa. Il difetto più serio che si sta concretizzando negli ultimi mesi, però, riguarda la sicurezza. Una delle prime vittime è stato Yahoo Mail. Il worm Yamanner ha richiesto l’implementazione di contromisure per i server Yahoo che amministrano il mailing.
Yamanner aveva sfruttato una falla presente fra le funzioni JavaScript di Yahoo Mail che permettono l’upload di immagini in allegato. Il worm, in pratica, era in grado di sostituire i suoi comandi JavaScript (componente chiave di Ajax) con i codici che permettevano la destinazione delle immagini. Ora, sebbene la soluzione al problema non si sia fatta troppo attendere, il problema di fondo è che Ajax viene utilizzato anche da Yahoo Calendar, Yahoo Sports, Yahoo Photos e Flickr. Senza contare Google, Microsoft, Nokia, Oracle, Adobe, Sun, IBM, etc.
Insomma, tutti pazzi per Ajax anche se gli esperti del settore sono convinti che la sua protezione sia complicata e articolata. “Questa vulnerabilità non è una sorpresa. Le applicazioni Ajax sono sempre più utilizzate senza troppa attenzione alla sicurezza”, ha dichiarato David Wagner, docente presso il Dipartimento di Informatica della University of California di Berkeley. Senza un corretto lavoro le applicazioni Web che sfruttano Ajax sono destinate ad essere colpite dagli hacker. Yamanner era in grado di sfruttare i PC degli utenti – nello specifico le rubriche - per inviare richieste ai server mail Yahoo. In seguito attivava un mailing a tutti gli indirizzi per agevolare la sua diffusione. Rispetto ai worm più conosciuti non viaggiava sotto forma di allegato e non richiedeva il click su un’icona o un link. Era sufficiente aprire il messaggio e in pochi secondi la contaminazione diventava certezza.