Det er få av oss i livet som virkelig ønsker å grave ned i de grove detaljene om hvordan ting fungerer - å besøke det ordspråklige «pølsefabrikk» som lager favorittmaten vår, setter sammen bilene våre eller legger billige dingser i hyllene hos Best Buy og Mål.
Det samme gjelder på nettet. I løpet av de siste to årene har vi alle blitt imponert av nye nettbaserte applikasjoner som Google Maps og nettet applikasjonsutviklingsteknikker som AJAX (Asynchronous Javascript og XML) som gjør dem mulige. Hvor mange av oss ønsker egentlig å tenke på de mulige sårbarhetene som kule nye verktøy som AJAX introduserer mens de gjør all den magien bak kulissene?
Men en ny Javascript-e-postorm kan være et tegn på at romantikken vår med det som har blitt kalt "Web 2.0" og verktøyene som AJAX som gjør det mulig kan komme til en brå slutt.
Yamanner dukket opp første gang 12. juni og retter seg mot brukere av Yahoo Web-basert e-postprogram. Den utnytter et tidligere ukjent skripthull på tvers av nettsteder og bruker AJAX til å raidere et offers Yahoo Mail-kontakter. Ormens utseende er bevis på at ondsinnede kodeskrivere bruker AJAX og andre dynamiske nettutviklingsteknikker for å lage snikende nettbaserte angrep, sa Billy Hoffman, ledende forsknings- og utviklingsingeniør ved SPI Dynamics, en nettapplikasjonssikkerhet selskap.
Yamanners forfatter eller forfattere fant ut hvordan man fester ondsinnet Javascript til en standard HTML-bildekode på en måte som lurte Yahoos ondsinnede kodefiltre. Når en Yamanner-melding ble åpnet og bildet var ferdig lastet, ble den skadelige koden kjørt, og AJAX ble brukt til å Koble stille tilbake til Yahoos webserver og send ut kopier av viruset gjennom offerets konto, Hoffman sa.
I oktober 2005 sirkulerte en Javascript-basert orm kalt Spacehero bredt på MySpace-nettverket og brukte AJAX for å legge til ormens forfatter, "Samy", til "venne"-listen til millioner av MySpace-brukere. Yamanner er en variant av samme tema, og det første beviset på en AJAX-trussel som treffer en av de "tre store" nettpostleverandørene, sa Hoffman.
Ormen bør være en vekker til programvareutviklere og webmastere som flere Java- og AJAX-utnyttelser vil kommer, ifølge et blogginnlegg av Michael Haisley, en hendelsesbehandler for SANS Internet Storm Senter.
Nettutviklere må følge nøye med på inndatavalidering og ta rapporter om skripthull på tvers av nettsteder mer alvorlig, sa Hoffman. Selskaper som er forelsket i "gee-whiz" nettapplikasjoner fra Google bør også tenke nøye gjennom og planlegge før de porterer forretningsapplikasjoner til nettet, sa han.
"Når du skyver forretningslogikk til klientsiden, lar du angripere se datatyper og inngangsområder som hackere vanligvis trenger en komplisert demonter for å se," sa Hoffman.