ajax - 为什么我们在网上银行等安全应用程序中看不到太多 AJAX？

Question

如果可能的话，有人可以列出参考/证据，为什么我们在网上银行等安全网络应用程序中看不到太多 AJAX？

例如 - 网上银行有一个用于账户、付款、工具、报告的选项卡列表。通常，您会看到这些实现为指向不同页面的链接。为什么不能只有一个页面并使用 AJAX 加载不同选项卡的内容？（例如，一个 JSF RichFaces 选项卡控件）

我假设在任何一种情况下都将处理不同 URLS 的书签和处理后退按钮（或禁用它，这对于网上银行来说很常见）。所以我想听听其他事情，比如它如何影响安全性、性能等？

我的团队即将开始构建基于 Web 的支付管理系统（想想设置支付、管理客户账户余额、对账等）。它不会进行实际支付，但会在某个时候与领先银行的网上银行系统集成。

我们在使用一页和使用 AJAX 处理其他所有内容方面存在分歧

或者

仅在真正有助于用户体验的地方使用 AJAX。

Answer 1

Ajax 可以提高可用性但增加了复杂性。

• http://www.useit.com/alertbox/web-2.html

银行需要安全。

• http://www.which.co.uk/money/bank-accounts/reviews-ns/online-banking-security/compare-online-banking-security/

复杂性是安全的敌人。

• https://www.schneier.com/blog/archives/2018/06/thomas_dullien_.html
• http://www.educause.edu/Resources/SecurityStandardsComplexityIst/162968
• http://portal.acm.org/citation.cfm?id=1218063.1217951

所以阿贾克斯是班克斯的敌人;)

Answer 2

我有一个反例给你。我会说mint.com与网上银行网站属于同一类别，它们大量使用 Ajax。我也冒险猜测他们的安全性比大多数银行都要好，但我没有证据证明这一点。银行只是“感觉”他们是由高薪顾问拼凑而成，而不是知道他们在做什么的开发商。Mint 是一家相当新的初创公司，他们的网站设计仍然显示了开发人员拥有/拥有的控制权。

Answer 3

I'd say the biggest reason is that banks tend to be very technologically conservative/hidebound. It's not uncommon to find a banking site that recommends or even requires using IE6.

Answer 4

有几种可能的原因和几种可能的解释（有些好，有些不好）。它因银行而异，因程序员而异，为什么他们使用他们使用的系统。一年前，我的银行实际上有一个基于 Flash 的在线银行系统，随着 Flash 中出现的所有安全漏洞，我真的很紧张。

需要考虑的一些事项：

• 大多数银行都非常老旧。它们从 1900 年代初就已经存在，有些甚至更早。5年前才成立的银行很少见。这些银行开始使用笔和纸系统，因此它们正在慢慢进入数字时代。这与 Facebook 等在互联网上起步的企业形成鲜明对比。

• 当您在银行工作时，您希望聘请“最优秀、最聪明”的程序员来保持您的系统高效和安全。问题是 - 拥有银行的人​​通常不知道 MSWord 和写字板之间的区别。出于这个原因，银行软件程序员的职位通常提供给具有“最多业务经验”的候选人。或者，在现实世界中，最古老的。面对事实——随着年龄的增长，您将不再跟上 AJAX 等现代趋势。如果银行的后端有一半是用 Java 编码的，我不会感到惊讶

• 银行希望让事情变得简单，以便“它可以正常工作”。为什么你认为暴风雨时会断电，但水槽里的水总是能用？最简单的系统最不可能失败。如果增加复杂性，就会增加可能出错的事情的数量。即使它是一个以前从未失败过的经过验证的系统，它也是额外的细节，这是额外的担忧。

• 虽然我的银行在这里真的不能说什么（因为有些电脑没有 Flash，某些 iDevices 甚至不允许它），但许多银行可能会拒绝所需的 javascript，因为并非所有浏览器都支持它或者可以禁用它。如果街上 80 岁的图书管理员 Piggsworth 夫人想从她的 1992 Pentium I 访问她的银行帐户，她肯定不会在 Internet Explorer 3 以外的任何新设备上这样做

此外，我不确定 AJAX 和 SSL 是否能很好地发挥作用。我想调查一下。

就速度/效率而言，如果您开始使用它，您实际上会发现 AJAX 更快。您只加载必要的数据而不是整个网页，并且您可以在帧之间切换而无需发出 HTTP 请求。当您结合单击/拖动功能和可排序列表时，它还可以使界面更加直观。问题主要在于复杂性的增加和对任何系统的恐惧。你拥有的棋子越多，可能出错的棋子就越多。

Answer 5

有一些实体在技术方面总是落后大约 10 年：银行、保险公司和政府。为了证明，请查看只做“现代化”（即将公司从旧的 COBOL 系统转换为 Java/.NET 等）的公司的客户列表，例如这个。

有充分的理由：

1. 这些机构的改变更难，主要是设计（快速改变=>错误=>大问题）
2. 质量控制通常涉及更多，因为即使是舍入错误也会导致巨大的问题。
3. 除非有明显的金钱激励，否则现状通常是“可以接受的”，足以不值得乱搞。

...并且有一些不好的原因：

1. 这些通常是具有大量批准和繁文缛节的大型机构
2. 真正关心的人越来越少

Answer 6

因为 javascript 的唯一问题是它没有安全性。

想象一下，我已将资金转帐表格加载到浏览器中。我给了它一些条目，Javascript 非常棒，它会在我发回之前为我计算总数。

由于 Javascript 是一种脚本语言，并且可以在有/没有用户知识（或跨站点问题）的情况下进行编辑并返回到服务器，因此对返回的信息的信任度为零。

当你想要花哨的小部件和“东西”时，现在你可能会序列化对象并使用 Eval() 来完成任何事情（我在看你 GWT）。

Javascript 为浏览器提供了很好的安全上下文和包容性，但使数据和潜在的服务器非常容易受到攻击。