产品战略专家梁宁确认出席AICon北京站,分享AI时代下的商业逻辑与产品需求 了解详情
写点什么

服务和 Mashup 的安全性

  • 2008-04-21
  • 本文字数:1614 字

    阅读完需:约 5 分钟

如今,安全问题在大多数应用和系统中正日益受到关注。无论你是创建小型的 mashups、开发企业级应用或是构建 SOA 平台,总会牵扯到有一些(安全相关的)问题和手段。Erica Naone 最近就在mashup 的世界里如何处理安全问题发表了他的看法,与此同时,来自BEA 的 Bob Rhubart David Garrison 讨论了怎样来确保你部署服务的安全。 Naone 和来自 OpenAjax 联盟微软研究院、信息安全公司 Mandiant ,以及 Mashup Maker(mashup maker 是用于运行和创建 Mashup 的组装环境。)公司 JackBe 的业界专家一起讨论并评估了 mashup 安全的现状以及未来的关注点。总体而言,现有浏览器的安全机制已经不足以为安全的 mashup 应用提供模型上的支持了。

Web 浏览器设计之初并未考虑进 mashup 应用,‘这个疮疤自它诞生之日就有了’[David Boloker,OpenAjax 联盟创始人之一,IBM 新兴网络技术 (Emerging Internet Technologies) 的 CTO] 说到。浏览器包含一种叫同源策略的安全机制,能够防止一个站点的恶意代码从另一站点上抓取诸如存储的证书之类的数据。同源策略限制了来自一个域的站点向另一个域请求数据。

来自微软研究院系统与网络组的 Helen Wang 进一步指出了同源策略的失败之处: > 同源策略的失败在于它迫使‘现在的网络应用,要么选择牺牲掉安全,要么选择牺牲掉功能。’她提到很多很棒的功能(比如 mashup)来自于使用各个来源的工具。问题是当站点的创建者在自己的站点嵌入第三方代码时,同源策略不再提供任何的保护,因此这些嵌入代码极有可能获得对存储于该站点的信息的访问权限

一些提出的解决方案包括:在辅以额外控制的同时,放宽同源策略的限制。Wang 建议以“沙盒”的形式在浏览器内对外部代码加以控制,避免(这些代码)获得过多的权限。也有人推荐用外部的、第三方工具来确保应用程序通信安全,这种方式不必改动现有的浏览器。一个这样的例子是 IBM 最近宣布的 sMash,一个“安全的 mashup”应用: > sMash 致力于解决浏览器 mashup 安全问题中的一个关键部分,使来自于异源的数据和代码相互分离,与此同时,通过一个安全的通信通道充许数据在受控状态下得以共享

业界的大多数人都试图表明 mashup 安全仍是一个悬而未决的问题,随着 Web2.0 应用的普及,这一问题将会得到越来越多的关注。尽管 mashup 并不是应用的全部,但 BEA 一直以来都把重点放在为组织创建服务的开发者身上。Bob Rhubart 在一家公司讨论“作为SOA 项目整体一部分的安全性”时提到,安全是任何SOA 全局治理的基石: > 要说明安全之于SOA 治理的重要性,将它比作水之于鱼的生存也不为过。这是显而易见的。就像SOA 治理中的其他环节一样,安全问题也是一个多方面的问题。但它的本质归根结底在于回答一个简单的问题:谁在使用你的东西?部署于SOA 中的每一个服务都代表着一笔重大的投资,同时也代表着潜在的重大回报。当然了,SOA 治理的一个根本目的,就是保证每个服务的使用都能产生所预期的回报。实现这个回报的关键,一是控制好谁能访问这些服务,二是控制好那些有权使用的人到底是怎样使用服务的。

Rhubart 援引了 David Garrison 和 BEA 的安全服务框架作为如何实现这一目标的例子。Garrison 指出,BEA 在他们的产品中使用了一个安全服务框架模型,并讨论了如何用 AquaLogic 企业安全套件 (ALES) 来设计这样一种框架的基本理念。Garrison 为一个安全服务框架标定出了 5 个主要的服务 / 提供者,并阐述了它们各自的职责。它们是: - 认证

  • 角色映射
  • 授权
  • 证书映射
  • 审计

不出意料,所列的项目与传统的应用级安全框架相异甚少。
查看英文原文: Security for Services and Mashups - - - - - -

译者简介:黄璜,毕业于重庆邮电大学计算机学院。现从事软件开发工作,供职于成都 ISSC, 主要负责 Java Web 开发,熟悉 struts,spring,ibatis,关注语义网,SOA,云计算等领域。个人主页: http://www.chinacomputing.org , 联系方式 huangh@cn.ibm.com 。参与 InfoQ 中文站内容建设,请邮件至 china-editorial@infoq.com

2008-04-21 01:17990
用户头像

发布了 133 篇内容, 共 37.0 次阅读, 收获喜欢 1 次。

关注

评论

发布
暂无评论
发现更多内容

解决方案| 阿里云数据库MongoDB版助力餐道显著提升运维效率,打造卓越餐饮/零售服务

MongoDB中文社区

mongodb

技术干货| MongoDB如何查询Null或不存在的字段?

MongoDB中文社区

mongodb

nginx配置系列(十)代理服务(proxy_pass)

乌龟哥哥

5月月更

TiKV 缩容不掉如何解决?

TiDB 社区干货传送门

Java中容易混淆的基础知识

工程师日月

java 5月月更

飞桨云上沙龙——智能制造专场

百度大脑

Redis命令HSCAN踩坑指南

Qunar技术沙龙

dba

区块链系统开发,交易所交易平台搭建

Geek_56201b

华创视讯加入龙蜥社区,携手共建开源新生态

OpenAnolis小助手

开源 龙蜥社区 CLA 华创视讯 龙腾计划

企评家|华润三九医药股份有限公司成长性评价报告摘要

企评家

塔米狗企评家 企业评价 企业成长性分析 企评家 企业投资价值评价

模块一

Geek_28cf33

遇到bug怎么分析,这篇文章值得一看

伤心的辣条

Python 程序人生 软件测试 自动化测试 测试开发

用阅读和写作应对未来风险

石云升

写作 阅读 5月日更

行业案例| MongoDB在腾讯零售优码中的应用

MongoDB中文社区

mongodb

虎符交易所Hoo研究院|币海寻珠 2022年4月下半月区块链投融事件TOP20

区块链前沿News

虎符研究院

Mysql的事务操作问题

恒山其若陋兮

MySQL 5月月更

gRPC服务开发和接口测试初探【Go】

FunTester

在基础语法中Java与c++有哪些不同?(对于学过c++转Java必看)

工程师日月

c++ java 5月月更

信息系统的建设周期

奔向架构师

信息系统 5月月更

Flutter 组件渲染模式详解

岛上码农

flutter ios 安卓开发 跨平台应用 5月月更

【愚公系列】2022年05月 二十三种设计模式(七)-桥接模式(Bridge Pattern)

愚公搬代码

5月月更

去哪儿网MySQL日志分析实践,80%数据丢失都给你救回来!

Qunar技术沙龙

dba

建木持续集成平台v2.3.1发布

Jianmu

开源 DevOps 自动化 持续集成 gitops

Hadoop hdfs 的shell操作

Emperor_LawD

hadoop Shell 5月月更

渗透测试工具一一Nmap(从初级到高级)

网络安全学海

网络安全 渗透测试 WEB安全 漏洞挖掘 nmap

LabVIEW仪器控制:智能示波器(普源DS1000E)

不脱发的程序猿

LabVIEW 串口通信 VISA LabVIEW示波器软件

观测云产品更新|优化观测云商业版升级流程;新增进程、日志、链路详情页关联网络;场景模块优化等

观测云

运维 可观测性 可观测

基调听云研发总监杨金全出席CSDN可观测性与APM峰会

基调听云

云原生 APM 可观测性 基调听云

从活动能力层建设看业务架构

Qunar技术沙龙

业务架构

恒源云 (Gpushare)_Restormer:用于高分辨率图像重建的高效Transformer

恒源云

人工智能 深度学习 Transformer

从手工测试到自动化测试进阶,需要学什么?结合自身分享我10+年的测试经验!

伤心的辣条

Python 程序人生 软件测试 自动化测试 接口测试

服务和Mashup的安全性_SOA_Steven Robbins_InfoQ精选文章