Specjaliści od bezpieczeństwa aplikacji webowych potwierdzali w wywiadach, że audyt aplikacji wykorzystujących technologię AJAX (asynchroniczny JavaScript oraz XML) jest bardzo trudny. Dziś ta prawda okazała się w całej rozciągłości. Nowy serwis transakcyjny mBanku przy konkretnej operacji pokazał mi błąd 404. Taki błąd w internetowym serwisie transakcyjnym banku jest to coś, co nie powinno się w ogóle zdarzyć! Oznacza to, że produkt nie został dostatecznie przetestowany. W odróżnieniu od niektórych błędów funkcjonalnych, każde wyświetlenie 404 pozostawia ślady w logach serwera WWW. Dlaczego jest to niebezpieczne? Bo może zostać wykorzystane do wstrzyknięcia kodu do aplikacji webowej.
Chciałem zgłosić ten problem przez czat, ale niestety mBank nawet do czatu (!) wymaga Silverlighta. Ja tej wtyczki nie mam i nie będę mieć.
Mój poziom zaufania do serwisu internetowego tego banku (i tak niski po wymuszonej migracji ze starego systemu) spadł jeszcze bardziej. W poprzedniej wersji serwisu transakcyjnego, przez ponad 10 lat, widywałem różne błędy, ale 404 – nigdy.

edit
Zdecydowałem się umieścić dowód, że na użytkowników nowego serwisu transakcyjnego mBanku czekają jeszcze inne niespodzianki. Oto przykład.