Почему мы не видим много Ajax в безопасных приложениях, таких как интернет-банкинг?

Question

Может кто-то список ссылок / доказательства, если это возможно, почему мы не видим много Ajax в безопасных веб-приложениях, таких как Интернет-банкинг?

Например - Интернет-банкинг имеет список вкладок для Счета, платежи, инструменты, отчеты. Отказ Обычно вы увидите их реализованы как ссылки на разные страницы. Почему вы не смогли просто иметь одну страницу и использовать AJAX для загрузки содержимого разных вкладок? (например, управление вкладкой JSF Richfaces)

Я предполагаю, что закладки и обращение с кнопкой назад (или отключение ее, как обычно для интернет-банкинга) для разных URL будут обрабатываться в любом сценарии. Поэтому я хотел бы услышать другие вещи, как то, как это может повлиять на безопасность, производительность и т. Д.?

Моя команда собирается начать построить систему управления на основе веб на основе веб (думаю, что создание платежей, управление балансами счета клиентов, примирение и т. Д.). Это не собирается делать фактические платежи, но в какой-то момент он будет интегрироваться с ведущей системой интернет-банкинга Банка.

Мы разделены на общую страницу и используя AJAX для всего остального

или

Используя AJAX только где его действительно помогает пользователю.

Answer 1

Ajax может улучшить удобство использования, но добавляет сложность.

• http://www.useit.com/alertbox/Web-2.html.

Банки нужна безопасность.

• http://www.which.co.uk/money/bank-accounts/reviews-ns/online-banking-security/compare-online-banking-security/

Сложность - враг безопасности.

• https://www.schneier.com/blog/Чахивы/2018/06/thomas_dullien_.html.
• http://www.eduquause.edu/resources/securitystandardsComplexityist/162968.
• http://portal.acm.org/cition.cfm?id=1218063.1217951.

Поэтому Ajax является врагом банков ;)

Answer 2

У меня есть контрпример для вас. я бы сказал mint.com. вписывается в ту же категорию, что и сайты интернет-банкинга, и они используют тяжелое использование AJAX. Я также хотел бы предположение, что их безопасность лучше, чем большинство банков, но у меня нет доказательства этого. Банки просто «чувствуют себя», как будто они мощены вместе высокооплачиваемыми консультантами, а не разработчиками, которые знают, что они делают. Mint - это довольно недавний запуск, а дизайн их сайта по-прежнему показывает контроль разработчики / имел / имел.

Answer 3

Я бы сказал, что самая большая причина в том, что банки имеют тенденцию быть очень технологически консервативными / скрытыми. Нередко найти банковский сайт, который рекомендует или даже требует использования IE6.

Answer 4

Есть несколько возможных причин и несколько возможных объяснений (некоторые хорошие, некоторые плохой). Он отличается от банка в банк и от программиста к программисту, почему они используют системы, которые они используют. Мой банк на самом деле имеет флэш-сигнальную систему онлайн-банкинга, которая, поскольку со всеми уязвимостями безопасности, включающейся в Flash.

Некоторые вещи принять во внимание:

• Большинство банков очень старые. Они были рядом с начала 1900-х годов, а некоторые еще раньше. Редко найти банк, который только что начал 5 лет назад. Эти банки начались с ручкой и бумаги системами, поэтому они медленно входят в цифровой возраст. Это в противоположном контрасте с предприятиями, которые получили свое начало в Интернете, как Facebook.

• Когда вы работаете в банке, вы хотите нанять «лучшие и самые яркие» программисты, чтобы сохранить свою систему и безопасную. Проблема в том, что люди, которые принадлежат банкам, обычно не знают разных между Мсордом и WordPad. По этой причине позиции как программисты для банковского программного обеспечения обычно предлагаются кандидату с «большим деловым опытом». Или, в реальном мире терминов, самый старый. Сталкивайтесь с фактами - как вы становитесь старше, вы перестаете идти в ногу с современными тенденциями, как Ajax. Я не был удивлен, если в Java была закодирована половина заднего конца Банка

• Банки хотят держать вещи простыми так, чтобы «это просто работает». Как вы думаете, почему власть выходит во время штормов, но вода в раковине всегда работает? Самые простые системы наименее вероятят неудачу. Если вы увеличите сложность, вы увеличиваете количество вещей, которые могут пойти не так. Даже если это проверенная система, которая никогда не потерпела неудачу ранее, это дополнительные детали, и это дополнительное беспокойство.

• Хотя мой банк действительно не может сказать здесь (так как некоторые компьютеры не имеют Flash, и некоторые IDEvices даже не позволят ей не допустить), многие банки могут сказать нет необходимым JavaScript просто потому, что не все браузеры поддерживают его или можно отключить Это. Если миссис Пиггсворт 80-летний библиотекарь по улице хочет получить доступ к своему банковскому счету от ее 1992 года Pentium I, она, безусловно, не будет делать это на что-то новее, чем в Интернете Explorer

Кроме того, я не уверен, если Ajax и SSL играют красиво. Я хотел бы посмотреть на это.

Что касается скорости / эффективности, вы фактически найдете, если вы начали использовать его, что Ajax быстрее. Вы загружаете только необходимые данные, а не целые веб-страницы, и вы можете переключаться между кадрами без необходимости делать HTTP-запросы. Он также может сделать более интуитивно понятный интерфейс, когда вы включаете функциональные возможности щелчка / перетаскивания и сортируемые списки. Проблема заключается в основном с повышенной сложностью и страхом, который должен принести в любую систему. Чем больше предметов у вас есть, тем больше штук, которые могут пойти не так.

Answer 5

Есть несколько объектов, которые всегда около 10 лет позади в технологиях: банки, страховые компании и правительства. Для доказательства, проверьте список клиентов для компаний, которые не делают ничего, кроме «модернизацию» (то есть конвертации компаний из старых систем COBOL в Java / .NET, и т. Д.), такие как Вот этот.

Есть веские причины:

1. Изменение сложнее в этих учреждениях, в основном по дизайну (быстрое изменение => ошибки => большие проблемы)
2. Контроль качества часто гораздо более вовлечен, поскольку прикручивается даже ошибка округления может вызвать огромные проблемы.
3. Если нет очевидный Денежный стимул, статус-кво обычно «приемлемый» достаточно, чтобы не оправдывать.

... и есть плохие причины:

1. Это, как правило, крупные учреждения с большими слоями одобрения и красной ленты
2. Меньше людей на самом деле заботятся

Answer 6

Потому что единственная проблема с JavaScript у нее нет безопасности.

Картинка это, я загрузил форму передачи средств в мой браузер. Я даю ему несколько записей, и JavaScript настолько велик, он вычисляет для меня всего, прежде чем отправить его обратно.

Из-за JavaScript является языком сценариев и может быть отредактирован и возвращен на сервер с / без знания пользователей (или поперечных вопросов сайта), то есть ноль доверие информации, возвращающейся.

Когда вы хотите необработанные виджеты и «вещи», теперь вы потенциально сериализуете объекты и используете EVAL (), чтобы получить что-нибудь сделать (я смотрю на вас GWT).

JavaScript имеет приятный контекст безопасности и сдерживание для браузера, но оставляет данные и потенциально сервер очень уязвимым.