ra. Vậy thì:

• Đầu tiên, cần phải hiểu nhân viên của mình, sử dụng phương tiện truyền thông
hiệu quả nhất để tiến hành hội thảo hay đưa ra các thông điệp cụ thể về quy tắc, quy
định tới từng nhân viên. Bà mẹ của những đứa trẻ thường thích cái gì càng đơn giản
càng tốt, như các bản ghi nhớ ngắn gọn, mạch lạc dễ nghe, dễ đọc và dễ nhớ
. Còn
các quý ông lại thường thích tin nhắn hay e-mail vì nó nhanh và chi tiết.

• Sử dụng kỹ thuật truyền thông tương tác, như video game, các câu hỏi trắc nghiệm
thử tài nhanh. Phương pháp này đơn giản mà hiệu quả, gây được hứng thú cho
nhân viên vì nó mang tính giải trí, nhưng vẫn đem lại tác dụng giáo dục.

• Tránh sử dụng theo kiểu ra lệnh, cấp trên bảo cấp dưới phải tuân theo, vì rất dễ
gây phản ứng ngược đối với nhân viên trẻ. Tuyên truyề
n với tấn suât mỗi năm một
lần sẽ không đem lại hiệu quả gì, vì thời gian như vậy không đủ nhiều để các quy
định còn đọng lại trong đầu nhân viên.

• Cố gắng đưa ra các thư tin hoặc e-mail hài hước, vui nhộn và đặc sắc như gửi thư
với một loại cum từ “Bạn có biết?” ở đầu mỗi đoạn, vừa mang tính giải trí, vừa có
tác dụng giáo d
ục.

• Với các buổi gặp trực tiếp nhân viên, đừng nên chỉ nói cái gì được thực hiện và
tiến hành (như mã hoá máy tính để bàn) mà còn phải giải thích tại sao càn làm như
vậy. Khuyến khích câu hỏi từ phía nhân viên và đưa ra câu trả lời càng súc tích,
ngắn gọn nhưng chính xác càng tốt. Như thế không chỉ làm thoả mãn trí óc nhân
viên, khiến họ cảm thấy được tôn trọng, được lắng nghe mà ngay những người quản
lý cũng học hỏi thêm đượ
c nhiều ý tưởng để nâng cao chính sách, quy định và hành

động sao cho đặt hiệu quả cao nhất.

• Đưa ra thông tin cảnh báo liên quan đến bảo mật nhưng có thể áp dụng được cho
các thiết bị bên ngoài nơi làm việc. Như các rủi ro có thẻ gặp phải khi chia sẻ bài hát
trên iPod mức ngang hàng là một ví dụ. Ai cũng sẽ quan tâm đến những điều có thể
giúp ích cho cuộc sống cá nhân trước tiên.

• Tổ chức các bài nói chuyên của chuyên gia bảo mật hoặc nhân viên kinh doanh về

tầm quan trọng của bảo mật thông tin. Điều đó sẽ có sức thuyết phục với nhân viên
quan tâm đến các vấn đề kinh doanh chứ không phải theo cách nghĩ thông thường
của họ là đánh đồng cùng với các vấn đề IT.


T.Thu (Theo ComputerWorld)
JavaScript hijacking - Lỗ hổng "chết người" của Web 2.0
- 12/4/2007 8h:30
Các nhà nghiên cứu về bảo mật đã tìm thấy một dạng tấn công mới thông qua Web
chỉ nhằm vào các ứng dụng Ajax đang rất được ưa chuộng trong trào lưu Web 2.0.

Foritfy Software, hãng đã tìm ra lỗ hổng mới trên với tên gọi “JavaScript
hijacking” cho rằng hầu hết các bộ công cụ (toolkit) Ajax đều có lỗi này.

“JavaScript hijacking cho phép những kẻ tấn công trái phép đọc được dữ liệu nh
ạy
cảm từ các ứng dụng bị lỗi bằng phương pháp tương tự như phương pháp thường
được sử dụng để tạo các mashup (một dạng ứng dụng web kết hợp ít nhất hai dịch vụ
từ các trang Web khác hẳn nhau)” – Chess viết trong một tài liệu hướng dẫn
(whitepaper) đã được công bố.


Mọi người đều cho rằng sự phát triển của mô hình lập trình Web Ajax chỉ có thể
làm gia tăng các lỗi bảo mật đã có. Rất ít người nghĩ nó có khả năng gây ra một lỗi
bảo mật mới, Brian Chess, “kiến trúc sư trưởng” của Fortify nói.

Phương pháp thiết kế ứng dụng web Ajax sử dụng cách thức truyền dữ liệu dưới
nền của mỗi trang, không cần thiết phải làm mới (refresh) toàn bộ lại trang mà
người dùng đang tương tác. Điều này tạo cho người dùng cảm giác các
ứng dụng
Web giống như các ứng dụng desktop. Gmail là một trong các ứng dụng Web như
thế.

Bằng cách khai thác các lỗ hổng “JavaScript hijacking”, kẻ tấn công có thể lấy được
thư từ hộp thư Gmail của nạn nhân hoặc có thể truy cập dữ liệu được truyền qua
ứng dụng Ajax.

Mặc dù Ajax là viết tắt của “Asynchronous
JavaScript and XML” (JavaScript không đồng bộ
và XML) nhưng không nhất thiết phải sử dụng
XML để
truyền tải. Bạn có thể sử dụng HTML,
văn bản không định dạng (plaintext) hoặc
JavaScript.

Theo Chess, vấn đề nằm ở chính chỗ này. Khi
ứng dụng sử dụng định dạng dữ liệu JavaScript
(viết tắt là JSON) thay vì XML để truyền dữ liệu
giữa trình duyệt và máy phục vụ Web, nó sẽ được trình duyệt xử lý theo một cách
khác với thông thường.

Các trình duyệt sử dụng các qui tắc để hạn ch

ế nơi dữ liệu HTML được miền gửi tới
gọi là “chính sách cùng một nguồn” ("same origin policy"), nhưng qui tắc này bị bỏ
qua khi dữ liệu có dạng JavaScript.

Một website hoàn toàn có khả năng chạy các dữ liệu JavaScript đang đặt trên một
miền khác. Đây là kĩ thuật được sử dụng trên các ứng dụng Google Adsense hay
Google Maps.

Hiện tại Fortify khẳng định rằng kẻ tấn công có thể khai thác lỗ hổng này để đăng
nhập vào các ứng dụng Ajax, đóng giả là các nạn nhân và nhận dữ
liệu mà ứng
dụng này cung cấp bình thường dưới dạng JSON.

Ví dụ về một trường hợp tấn công, một nạn nhân khi đã xác thực vào ứng dụng
Ajax sẽ có phần cookie đăng nhập trên trình duyệt của mình, sau đó nạn nhân này
bị lừa truy cập vào trang web của kẻ tấn công. Trang web này có chứa các đoạn mã
JavaScript thực hiện các lời gọi tới ứng dụng Ajax. Dữ liệu nhận được t
ừ ứng dụng
sẽ được gửi đến cho kẻ tấn công.

Nếu ứng dụng Ajax là một dịch vụ Webmail, kẻ tấn công có thể lấy được nội dung
của hộp thư đến hoặc sổ địa chỉ. Thực vậy, các nghiên cứu này của Fortify đã dựa
trên kết quả tìm thấy được trước đó của Jeremiah Grossman về lỗi tương tự trong
ứng dụng Gmail vào nă
m ngoái.

Theo Fortify, có 11 trong số 12 nền tảng (framework) họ đã kiểm tra không có khả
năng chống đỡ được những tấn công dạng này. Tuy nhiên công ty này đã không
kiểm thử trên các ứng dụng đang hoạt động.


Các nền tảng bị lỗi gồm có: Microsoft ASP.NET AJAX (còn gọi là Atlas), XAJAX và
Google Web Toolkit, Prototype, Script.aculo.us, Dojo, Moo.fx, jQuery, Yahoo! UI,
Rico, và MochiKit.

Theo Chess, những nhà cung cấp này đã được thông báo và họ sẽ sửa lỗi trong
những thư viện sắp được tung ra. Các trang whitepaper đang được phát hành để
giúp nhữ
ng người lập mã đã từng viết các đối tượng Ajax có thể xây dựng thêm các
bộ chống đỡ tương tự.

Vì Ajax đang ở thời kì đầu, nên đây chưa hẳn là một vấn đề lớn như hiện tượng
tràn bộ đệm khi mới được tìm ra, Chess nói. Không có nhiều ứng dụng Ajax lớn cần
phải sửa lỗi. Do đó hiện nay Fortify muốn công khai kết quả tìm kiếm của mình
càng rộ
ng rãi càng tốt để loại bỏ được vấn đề này ngay từ đầu.

Hợi Lê
AJAX - sự kết hợp kỳ diệu của công nghệ web
3/20/2006 4:40:00 PM
Đề tài kỹ thuật vốn luôn khô khan và không mấy thú vị, nhưng
những câu chuyện về quá trình phát triển của AJAX trong không
gian ứng dụng Internet đa phương tiện đã tạo nên sức hút khó tin
xuyên suốt năm 2005.
Thế hệ Web 2.0 chỉ vừa bắt đầu và sẽ phải trải qua cả một chặng
đường dài phía trước để có thể thay đổi những gì vốn đã trở nên
quen thuộc với mọi ngườ
i hiện nay. Đóng vai trò then chốt trong
giai đoạn thứ hai của web là tổ hợp công nghệ AJAX. Dù thế giới
chưa thực sự sẵn sàng đón nhận, nhiều người cho rằng các ứng dụng AJAX đang
phát triển còn nhanh hơn cả định luật Moore - động lực thúc đẩy ngành điện toán

gốc.
AJAX là gì?
AJAX, viết tắt từ Asynchronous JavaScript and XML (JavaScript và XML không
đồng bộ), là bộ công cụ cho phép tăng tốc độ ứ
ng dụng web bằng cách cắt nhỏ dữ
liệu và chỉ hiển thị những gì cần thiết, thay vì tải đi tải lại toàn bộ trang web. AJAX
không phải một công nghệ đơn lẻ mà là sự kết hợp một nhóm công nghệ với nhau.
Trong đó, HTML và CSS đóng vai hiển thị dữ liệu, mô hình DOM trình bày thông
tin động, đối tượng XMLHttpRequest trao đổi dữ liệu không đồng bộ với máy chủ
web, còn XML là định dạng chủ y
ếu cho dữ liệu truyền. Đây đều là công nghệ sẵn có
nhưng Javacript đã lắp ráp chúng lại để thực hiện những "sứ mệnh" đáng khâm
phục.
Hầu hết các câu chuyện về nguồn gốc của AJAX được bắt đầu từ khi Microsoft phát
triển công nghệ Remote Scripting vào năm 1998. Tuy nhiên, phương pháp tải không
đồng bộ nội dung trên một trang web đã xuất hiện trong thành tố IFRAME của
Internet Explorer 3 (1996) và thành tố LAYER của Netscape 4.0 nă
m 1997. Khi giới
thiệu Internet Explorer 4.0, Microsoft đã sử dụng mô hình đối tượng tài liệu DOM
khác biệt. Đến năm 2000, Netscape hoàn toàn đánh mất thị trường trình duyệt vào
tay hãng phần mềm của Bill Gates và thành tố LAYER cũng không còn được các
chuyên gia phát triển web chú ý tới.
Phải vài năm sau, AJAX mới lại lôi kéo được sự quan tâm của giới công nghệ và trở
thành công cụ cải tiến giao diện người dùng cho ứng dụng web. Thuật ngữ này cũng
chỉ mới xu
ất hiện cách đây 1 năm (tháng 2/2005) trong bài viết nổi tiếng của Jesse
James Garrett trên trang Adaptive Path. Từ đó, AJAX trở thành trung tâm trong
mọi câu chuyện liên quan đến thế hệ Web 2.0.
AJAX hoạt động như thế nào?


AJAX là công cụ
trọng tâm của
Web 2.0. (ECT)
Ứng dụng web truyền thống (trái) và
ứng dụng AJAX. (Adaptive Path)
Từ lâu, mọi người đã tưởng tượng ứng dụng máy tính rồi sẽ được lưu và chạy hoàn
toàn trên web thay vì nằm bó buộc trong ổ cứng. Dù vậy, viễn cảnh đó vẫn chưa thể
xảy ra do ứng dụng web bị hạn chế bởi nguyên lý rằng tất cả các thao tác phải được
thực hiện thông qua HTTP (HyperText Transfer Protocol - Giao thức truyền tải
qua siêu liên kết). Những hoạt động của người sử dụng trên trang web sẽ tạo ra một
yêu cầu HTTP tới server. Máy chủ thực hiện một số khâu xử lý như lấy lại dữ liệu,
tính toán, kiểm tra sự hợp lệ của thông tin, sửa đổi bộ nhớ, sau đó gửi lại một trang
HTML hoàn chỉnh tới máy khách. Về mặt kỹ thuật, phương pháp này nghe có vẻ
hợp lý nhưng cũng khá b
ất tiện và mất thời gian, bởi khi server đang thực hiện vai
trò của nó thì người dùng sẽ làm gì? Tất nhiên là chờ đợi.
Để khắc phục hạn chế trên, các chuyên gia phát triển giới thiệu hình thức trung
gian - cơ chế xử lý AJAX - giữa máy khách và máy chủ. Điều này giống như việc
tăng thêm một lớp giữa cho ứng dụng để giảm quá trình "đi lại" của thông tin và
giảm thời gian phản ứng. Thay vì t
ải lại (refresh) toàn bộ một trang, nó chỉ nạp
những thông tin được thay đổi, còn giữ nguyên các phần khác. Vì thế, khi duyệt một
trang hỗ trợ AJAX, người sử dụng không bao giờ nhìn thấy một cửa sổ trắng
(blank) và biểu tượng đồng hồ cát - dấu hiệu cho thấy máy chủ đang thực hiện
nhiệm vụ. Ví dụ, trong một website ảnh, với ứng dụng truyền thống, toàn bộ trang
chứa các
ảnh sẽ phải mở lại từ đầu nếu có một thay đổi nào đó trên trang. Còn khi
áp dụng AJAX, DHTML chỉ thay thế đoạn tiêu đề và phần vừa chỉnh sửa, do vậy
tạo nên các giao dịch trơn tru, nhanh chóng.
