Anda tentunya sudah akrab dengan Farmville atau Mafia Wars. Ya, dua layanan tersebut adalah aplikasi/game Facebook. Facebook berani sekali ya menaruh konten dari situs lain ke dalam situsnya. Apa tidak takut di-hack lewat XSS (Cross Site Scripting)? Kita bisa saja iseng menaruh javascript atau melempar halaman yang dilihat Facebook user ke Facebook palsu, bukan begitu?

Tidak hanya Facebook yang menghadapi resiko ancaman seperti di atas. Google dengan Google Gadgetnya juga mempunyai masalah serupa. Walau mungkin source code untuk gadget bisa ditaruh di server Google tapi tetap saja Google tidak bsia mengontrol kode apa yang akan kita tulis. Selain Facebook dan Google, Yahoo juga menghadapi masalah yang sama pada Yahoo Application Platform. Dalam YAP, kita bisa menulis aplikasi dan kemudian ditampilkan di halaman depan Yahoo (Metro).

Sambut Caja (baca: Ka-Ha). Caja adalah semacam sandboxing tool yang mempunyai kemampuan mengurung kode HTML+Javascript supaya tidak membahayakan host-nya. Caja menyediakan tiruan DOM yang bisa diakses seperti DOM pada halaman penuh namun sebenarnya DOM tersebut hanya diimplementasikan pada virtual iframe. Jadi kode yang kita tulis akan tertipu secara tanpa sadar. Dan kita pun tak perlu mengubah kode demi mendukung DOM palsu ini.

Tidak berhenti dengan DOM, Caja juga mengamankan Javascript dengan menyediakan Valija. Valija adalah salinan Javascript dengan semua sintaksnya namun mengalami beberapa perubahan untuk menghilangkan sintaks yang sering menyebabkan error dan juga dalam rangka mengendalikan bagaimana eval bisa digunakan. Valija sendiri ditulis dalam subset Javascript yang disebut Fail Stop.

So, apakah Anda sudah mengamankan diri? Apakah layanan Anda menyediakan App platform? Fupei? Kaskus mungkin? Jangan lupa pakai Caja 😉

PS:

Sudah lihat banner keren di samping kanan? tengok NavinoT besok, kita akan beri detilnya 😉