"Was MySpace, Google und Yahoo Probleme macht, ist XSS", bestätigt Alex Stamos, Principal Partner bei dem Security-Unternehmen iSEC Partners. Abhilfe schaffen lasse sich durch das Filtern aller eintreffenden und ausgehenden Skripte. In der traditionellen Web-1.0-Welt, die im Prinzip eine große Standard-HTML-Web-Seite darstellte, sei das Fernhalten dieser Skripte noch eine übersichtliche Aufgabe gewesen. Mit Web 2.0 hingegen ist die Anzahl der Einfallsmöglichkeiten stark gestiegen, was die Skript-Abwehr deutlich erschwert. Aus diesem Grund sollten Entwickler von Web-Applikationen nicht länger auf Filter von der Stange zurückgreifen.

"Web-Entwickler müssen umerzogen werden", betont auch SPIs Hoffman. Er erachtet den Hype um Ajax in diesem Kontext als problematisch: Viele Leute würden heute einfach ein Buch zum Thema "Ajax in 24 Stunden beherrschen" lesen - und dann eine Web-Seite kreieren, die angreifbar sei. Solche "Start-ups" nutzten so genannte Ajax Frameworks beziehungsweise "Ready-to-run-Web-2.0-Pakete". "Die Idee dahinter: Man muss nicht verstehen, wie es funktioniert", erläutert Stamos gegenüber der Financial Times. "Wer jedoch nicht versteht, wie Ajax funktioniert, weiß auch nicht, wie man es sicher einsetzt", warnt der Sicherheitsexperte. (kf)