标签 ( Tags )： web2.0 , 安全漏洞 , 病毒 , ajax , myspace

　　在国生三年才开始的Blog上看到消息，有人在MySpace交友网站上写了一段JavaScript蠕虫代码，利用Ajax方法让无数的用户在不知情的情况下把他加入了好友名单，同时在他们的个人简介最后自动加上了“samy is my hero”的字样。虽然MySpace技术团队最终发现并堵上了这个漏洞，但这位年仅19岁的程序员――Samy――已经成功了通过这个小小的蠕虫一夜成名了。看看，都有个人专访了 >> 

　　看来随着Web2.0的风行，各种可读写的社会性站点越来越多，在提供给了用户极大的个性化定制空间的同时，这些自由张贴的网页代码脚本也给网络安全带来了不可估量的隐患。

　　就像Samy自己说的，MySpace其实在防范恶意脚本方面已经做了很多的工作；即便如此，最终还是被他找到了空子（虽然原因并不像薄荷所说的那样纯粹因为“万恶的JavaScript”的问题，而是依靠了浏览器的漏洞）

“The hole was actually not in MySpace.To MySpace’s defense, they did a great job of blocking malicious code, JavaScript, etc. The reason I was still able to get JavaScript past their filters is by using browsers’ leniencies. With a little finagling, I could get JavaScript to execute on some browsers, even though the actual code wasn’t valid. It was the browsers that mistakenly executed JavaScript when they shouldn’t have.”

　　防守严密的MySpace尚且被“宽容”的浏览器（大部分当然就是指IE了）坏了事，更何况现在一茬茬冒出来的Web2.0 beta站点们？

　　也许，在所有人（包括那些传统的门户网站）都涌向这块新大陆的时候，应该尽早考虑一下如何去维持好治安了。

　　自由是好事，但也要有个度。否则破坏了整个社会的次序，人民很生气，后果很严重。