QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

服务和 Mashup 的安全性

  • 2008-04-21
  • 本文字数:1614 字

    阅读完需:约 5 分钟

如今,安全问题在大多数应用和系统中正日益受到关注。无论你是创建小型的 mashups、开发企业级应用或是构建 SOA 平台,总会牵扯到有一些(安全相关的)问题和手段。Erica Naone 最近就在mashup 的世界里如何处理安全问题发表了他的看法,与此同时,来自BEA 的 Bob Rhubart David Garrison 讨论了怎样来确保你部署服务的安全。 Naone 和来自 OpenAjax 联盟微软研究院、信息安全公司 Mandiant ,以及 Mashup Maker(mashup maker 是用于运行和创建 Mashup 的组装环境。)公司 JackBe 的业界专家一起讨论并评估了 mashup 安全的现状以及未来的关注点。总体而言,现有浏览器的安全机制已经不足以为安全的 mashup 应用提供模型上的支持了。

Web 浏览器设计之初并未考虑进 mashup 应用,‘这个疮疤自它诞生之日就有了’[David Boloker,OpenAjax 联盟创始人之一,IBM 新兴网络技术 (Emerging Internet Technologies) 的 CTO] 说到。浏览器包含一种叫同源策略的安全机制,能够防止一个站点的恶意代码从另一站点上抓取诸如存储的证书之类的数据。同源策略限制了来自一个域的站点向另一个域请求数据。

来自微软研究院系统与网络组的 Helen Wang 进一步指出了同源策略的失败之处: > 同源策略的失败在于它迫使‘现在的网络应用,要么选择牺牲掉安全,要么选择牺牲掉功能。’她提到很多很棒的功能(比如 mashup)来自于使用各个来源的工具。问题是当站点的创建者在自己的站点嵌入第三方代码时,同源策略不再提供任何的保护,因此这些嵌入代码极有可能获得对存储于该站点的信息的访问权限

一些提出的解决方案包括:在辅以额外控制的同时,放宽同源策略的限制。Wang 建议以“沙盒”的形式在浏览器内对外部代码加以控制,避免(这些代码)获得过多的权限。也有人推荐用外部的、第三方工具来确保应用程序通信安全,这种方式不必改动现有的浏览器。一个这样的例子是 IBM 最近宣布的 sMash,一个“安全的 mashup”应用: > sMash 致力于解决浏览器 mashup 安全问题中的一个关键部分,使来自于异源的数据和代码相互分离,与此同时,通过一个安全的通信通道充许数据在受控状态下得以共享

业界的大多数人都试图表明 mashup 安全仍是一个悬而未决的问题,随着 Web2.0 应用的普及,这一问题将会得到越来越多的关注。尽管 mashup 并不是应用的全部,但 BEA 一直以来都把重点放在为组织创建服务的开发者身上。Bob Rhubart 在一家公司讨论“作为SOA 项目整体一部分的安全性”时提到,安全是任何SOA 全局治理的基石: > 要说明安全之于SOA 治理的重要性,将它比作水之于鱼的生存也不为过。这是显而易见的。就像SOA 治理中的其他环节一样,安全问题也是一个多方面的问题。但它的本质归根结底在于回答一个简单的问题:谁在使用你的东西?部署于SOA 中的每一个服务都代表着一笔重大的投资,同时也代表着潜在的重大回报。当然了,SOA 治理的一个根本目的,就是保证每个服务的使用都能产生所预期的回报。实现这个回报的关键,一是控制好谁能访问这些服务,二是控制好那些有权使用的人到底是怎样使用服务的。

Rhubart 援引了 David Garrison 和 BEA 的安全服务框架作为如何实现这一目标的例子。Garrison 指出,BEA 在他们的产品中使用了一个安全服务框架模型,并讨论了如何用 AquaLogic 企业安全套件 (ALES) 来设计这样一种框架的基本理念。Garrison 为一个安全服务框架标定出了 5 个主要的服务 / 提供者,并阐述了它们各自的职责。它们是: - 认证

  • 角色映射
  • 授权
  • 证书映射
  • 审计

不出意料,所列的项目与传统的应用级安全框架相异甚少。
查看英文原文: Security for Services and Mashups - - - - - -

译者简介:黄璜,毕业于重庆邮电大学计算机学院。现从事软件开发工作,供职于成都 ISSC, 主要负责 Java Web 开发,熟悉 struts,spring,ibatis,关注语义网,SOA,云计算等领域。个人主页: http://www.chinacomputing.org , 联系方式 huangh@cn.ibm.com 。参与 InfoQ 中文站内容建设,请邮件至 china-editorial@infoq.com

2008-04-21 01:171124
用户头像

发布了 133 篇内容, 共 39.4 次阅读, 收获喜欢 1 次。

关注

评论

发布
暂无评论
发现更多内容

C++多态的基本概念与原理刨析

CtrlX

c c++ 面向对象 代码 8月月更

头脑风暴:最长连续递增序列

HelloWorld杰少

算法 LeetCode 数据结构, 8月月更

详解CAN总线:什么是CAN总线?

不脱发的程序猿

嵌入式 汽车电子 CAN总线协议

详解CAN总线:常用CAN连接器的使用方法

不脱发的程序猿

汽车电子 嵌入式开发 CAN连接器

架构训练营毕业总结

joak

Spring进阶(一):SpringMVC常用注解标签详解

No Silver Bullet

springmvc 注解 8月月更

开源一夏 | 实战Node.js之GET/POST请求在Web 应用架构在客户端的使用

恒山其若陋兮

开源 8月月更

消费大众网民的审丑心理,如何拯救扭曲化的自媒体行业

石头IT视角

在线XML转TSV工具

入门小站

工具

开源一夏 | 阿里云ECS之Linux 系统工作命令

六月的雨在InfoQ

Linux 开源 8月月更 系统命令

IPv4向IPv6的过渡技术

穿过生命散发芬芳

ipv6 8月月更

在线诺基亚短信图片生成器工具

入门小站

工具

MySQL数据库之数据查询

乌龟哥哥

8月月更

flstudio21水果软件更新内容V21版本

茶色酒

FL Studio

开源一夏 | 阿里云ECS之Linux 文件管理命令

六月的雨在InfoQ

Linux 开源 8月月更 文件管理命令 磁盘命令

聚焦2022全球边缘计算大会·深圳站,揭秘火山引擎新一代边缘云解决方案

火山引擎边缘云

分布式 CDN 边缘计算 渲染 边缘云

文件管理-Linux系统文件属性

Albert Edison

Linux centos 运维 文件管理 8月月更

leetcode 304. Range Sum Query 2D - Immutable 二维区域和检索 - 矩阵不可变(中等)

okokabcd

LeetCode 数据结构与算法

spark实战之:分析维基百科网站统计数据(java版)

程序员欣宸

Java spark 8月月更

flstudio21版本有什么新功能?

茶色酒

FL Studio

加密市场由阴转晴,Zebec或成2022后半段黑马

鳄鱼视界

6.18秒杀系统架构设计

joak

SpringMvc如何同时支持Jsp和Json接口?

xiaoxi666

《Dubbo3.0.8源码解析》15-Dubbo的三大中心之元数据中心源码解析

宋小生

dubbo Dubbo3

智能化运维场景分析

阿泽🧸

智能运维 8月月更

SAFe Day 2022 中国规模化敏捷大会即将开启

爱吃鱼的小雨

敏捷 safe 规模化敏捷 大规模敏捷 SAFeDay

开源一夏|三步注册gitee

坚果

开源 8月月更

LabVIEW LINX Toolkit控制Arduino设备(拓展篇—1)

不脱发的程序猿

嵌入式 单片机 LabVIEW Arduino LINX Toolkit

三个线程交替打印ABC100次问题思考

越长大越悲伤

面试 线程 后端 JUC

RocketMQ高可用设计之同步刷盘

急需上岸的小谢

8月月更

计算机网络(三、数据链路层)

计算机网络 8月月更

服务和Mashup的安全性_SOA_Steven Robbins_InfoQ精选文章