Web 2.0概念网站使用的新式网页技术，除了其正面意义外，也可能创造出一个安全威胁的新天地。

    Web 2.0并没有严谨的定义，但最大的特色在于有别于传统单向传播、静态网页，而更强调使用者参与、开放、互动的网络技术。其中有些甚至还运用新的技术，以知名的Google Maps为例，就是运用AJAX以及Mash-up技术，使网站服务器可以从其他网站抓取元件，像是租屋、餐厅、或犯罪信息，以便将此类信息整合在其地图上。

    但安全厂商指出，除了更丰富的功能、更炫的界面之外，一些Web 2.0的网站陆续传出安全问题。例如现已为News Corp（新闻集团）收购的MySpace，即曾传出Samy与Spaceflash蠕虫，它们可将这个知名社交网站众多使用者信息（profile）加以变更。

    有些安全风险则来自Web 2.0概念运用的技术，像是AJAX。以AJAX技术开发的网站和浏览器有更多互动，而且可以在用户端PC上执行JavaScript。然而过去，JavaScript经常是攻击程序入侵使用者电脑的渠道，因而许多主流浏览器，往往原始设定关闭Java Script的执行功能。AJAX也被认为增加跨网站指令码（cross-site scripting）攻击的可能性。

    网络加速与安全产品供应商Bluecoat首席执行官Brian NeSmit即指出，对企业而言，Web 2.0同时意谓着更大的机会及风险。“机会在于应用获得更大自由与其他程序链接、组合，风险在于，AJAX则实现系统对系统的互动，”他说，“相较于传统email是人和人在机器后的互动行为，你已无法保证和你系统对话的是你信任的对象。”

    因此他建议，“企业必须建立一个包括安全、身份认证的基础架构。”

    Web 2.0讲求分享、使用者参与的精神，可能使本来就存在的问题到“Web 2.0时代”更扩大。

    赛门铁克亚太区首席技术顾问林育民举例，一般网站在撰写时并不注重程序安全问题，许多网页程序普遍有漏洞可能遭到缓冲溢位（buffer overflow）攻击，而许多号称Web 2.0的网站仰赖使用者张贴图片，则一些隐藏在Gif格式图形的恶意源代码，则可能循此漏洞入侵或寄生于网站上。

    而浏览器有漏洞的使用者若到网站或论坛下载图片，也可能因此被感染，他说。“以前你只要不要到陌生网站下载图片，但现在连知名网站也无法确保你幸免遇难。”

    趋势科技台湾技术总监王应达则认为，所谓“Web 2.0”网站安全问题其实和过去并没有太大差异。

    Web应用安全问题源头往往有两个，一是Web应用撰写时有漏洞，一是网站使用的技术有漏洞，他说，前者可以通过Web开发人员的程序撰写安全观念，后者则有赖软件供应商的技术提升。“AJAX也好、跨网站指令码也好，这些都不是新东西，而且存在也很久了，只是网站开发人员要切记，不可因为功能面的追求，而忽略安全考虑。”

    但王应达认为，根据去中心、参与、互动的定义，P2P、文件交换、博客都可以被称为Web 2.0，而这时Web 2.0所衍生出的安全问题，反而在使用者端更加急迫。

    要确保每个从事点对点交换的使用者注意安全，比要求程序设计师难度更高，”他认为，Web 2.0环境之下，分散、去中心化的传播行为成为可能，进入门槛也更低时，使用者教育将是更重要的一环。

    因为大家都能建立博客，并不意味着大家都知道有必要去检查Web程序安全。”他说，“这就给了黑客更容易得逞的机会。”