Was Malware-Entwickler an Web 2.0 anzieht, ist nicht zuletzt die Komplexität der im Hintergrund laufenden Prozesse. Ajax (Asynchronous JavaScript and XML) ist der Oberbegriff für eine Vielzahl von Techniken, die Web-Pages zu mehr Interaktivität verhelfen. "Es gibt etwa 100 verschiedene Methoden, Javascript zu kodieren, bei Firefox und Explorer sind es jeweils 50", so HD Moore, Security Research Director bei BreakingPoint Systems, gegenüber der "Financial Times". Das Problem: Guter und schlechter Code lassen sich nur schwer voneinander unterscheiden.

"Schlechter Code" traf Yahoos Web-Mail-Service im Juni, als ein Virenschreiber eine E-Mail mit eingebettetem Javascript-Code verbreitete. Yahoo Mail erwies sich als verwundbar gegenüber der als Wurm "Yamanner" bezeichneten Malware, da es die Ausführung von Javascript zuließ. Jeder, der die Mail öffnete, aktivierte das Skript, das den Schädling daraufhin an alle im Adressbuch des Nutzers aufgeführten Kontakte versendete. Das Ziel war offenbar, Adressen für Spam-Listen zu sammeln. "Ohne Ajax wäre Yamanner nicht möglich gewesen", gibt Billy Hoffman, Sicherheitsforscher bei SPI Dynamics zu bedenken.

Eine ähnliche Schwachstelle in Googles RSS-Reader kam im vergangenen Monat ans Licht. Google nutzt Javascript, um es Nutzern zu ermöglichen, ihren Reader um News-Feeds zu erweitern. Einem Sicherheitsexperten gelang es, Daten an die News-Feed-Adresse anzuhängen und so den Browser an eine andere Seite zu leiten. Mit böswilliger Absicht hätte dies eine Phishing-Seite sein können, die dann versuchen würde, den Besucher zur Preisgabe sensibler Daten zu bewegen.

Diese Codierungsschwächen in Web 2.0 werden als "Cross-Site-Scripting" oder XSS-Schwachstellen bezeichnet. Bestes Beispiel eines XSS-Lecks war ein Angriff auf MySpace im Oktober 2005, der dazu führte, dass die mit derzeit 54 Millionen Nutzern weltweit größte Community-Site für mehrere Stunden vom Netz genommen werden musste, um einen Wurm los zu werden.