AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

服务和 Mashup 的安全性

  • 2008-04-21
  • 本文字数:1614 字

    阅读完需:约 5 分钟

如今,安全问题在大多数应用和系统中正日益受到关注。无论你是创建小型的 mashups、开发企业级应用或是构建 SOA 平台,总会牵扯到有一些(安全相关的)问题和手段。Erica Naone 最近就在mashup 的世界里如何处理安全问题发表了他的看法,与此同时,来自BEA 的 Bob Rhubart David Garrison 讨论了怎样来确保你部署服务的安全。 Naone 和来自 OpenAjax 联盟微软研究院、信息安全公司 Mandiant ,以及 Mashup Maker(mashup maker 是用于运行和创建 Mashup 的组装环境。)公司 JackBe 的业界专家一起讨论并评估了 mashup 安全的现状以及未来的关注点。总体而言,现有浏览器的安全机制已经不足以为安全的 mashup 应用提供模型上的支持了。

Web 浏览器设计之初并未考虑进 mashup 应用,‘这个疮疤自它诞生之日就有了’[David Boloker,OpenAjax 联盟创始人之一,IBM 新兴网络技术 (Emerging Internet Technologies) 的 CTO] 说到。浏览器包含一种叫同源策略的安全机制,能够防止一个站点的恶意代码从另一站点上抓取诸如存储的证书之类的数据。同源策略限制了来自一个域的站点向另一个域请求数据。

来自微软研究院系统与网络组的 Helen Wang 进一步指出了同源策略的失败之处: > 同源策略的失败在于它迫使‘现在的网络应用,要么选择牺牲掉安全,要么选择牺牲掉功能。’她提到很多很棒的功能(比如 mashup)来自于使用各个来源的工具。问题是当站点的创建者在自己的站点嵌入第三方代码时,同源策略不再提供任何的保护,因此这些嵌入代码极有可能获得对存储于该站点的信息的访问权限

一些提出的解决方案包括:在辅以额外控制的同时,放宽同源策略的限制。Wang 建议以“沙盒”的形式在浏览器内对外部代码加以控制,避免(这些代码)获得过多的权限。也有人推荐用外部的、第三方工具来确保应用程序通信安全,这种方式不必改动现有的浏览器。一个这样的例子是 IBM 最近宣布的 sMash,一个“安全的 mashup”应用: > sMash 致力于解决浏览器 mashup 安全问题中的一个关键部分,使来自于异源的数据和代码相互分离,与此同时,通过一个安全的通信通道充许数据在受控状态下得以共享

业界的大多数人都试图表明 mashup 安全仍是一个悬而未决的问题,随着 Web2.0 应用的普及,这一问题将会得到越来越多的关注。尽管 mashup 并不是应用的全部,但 BEA 一直以来都把重点放在为组织创建服务的开发者身上。Bob Rhubart 在一家公司讨论“作为SOA 项目整体一部分的安全性”时提到,安全是任何SOA 全局治理的基石: > 要说明安全之于SOA 治理的重要性,将它比作水之于鱼的生存也不为过。这是显而易见的。就像SOA 治理中的其他环节一样,安全问题也是一个多方面的问题。但它的本质归根结底在于回答一个简单的问题:谁在使用你的东西?部署于SOA 中的每一个服务都代表着一笔重大的投资,同时也代表着潜在的重大回报。当然了,SOA 治理的一个根本目的,就是保证每个服务的使用都能产生所预期的回报。实现这个回报的关键,一是控制好谁能访问这些服务,二是控制好那些有权使用的人到底是怎样使用服务的。

Rhubart 援引了 David Garrison 和 BEA 的安全服务框架作为如何实现这一目标的例子。Garrison 指出,BEA 在他们的产品中使用了一个安全服务框架模型,并讨论了如何用 AquaLogic 企业安全套件 (ALES) 来设计这样一种框架的基本理念。Garrison 为一个安全服务框架标定出了 5 个主要的服务 / 提供者,并阐述了它们各自的职责。它们是: - 认证

  • 角色映射
  • 授权
  • 证书映射
  • 审计

不出意料,所列的项目与传统的应用级安全框架相异甚少。
查看英文原文: Security for Services and Mashups - - - - - -

译者简介:黄璜,毕业于重庆邮电大学计算机学院。现从事软件开发工作,供职于成都 ISSC, 主要负责 Java Web 开发,熟悉 struts,spring,ibatis,关注语义网,SOA,云计算等领域。个人主页: http://www.chinacomputing.org , 联系方式 huangh@cn.ibm.com 。参与 InfoQ 中文站内容建设,请邮件至 china-editorial@infoq.com

2008-04-21 01:171146
用户头像

发布了 133 篇内容, 共 39.7 次阅读, 收获喜欢 1 次。

关注

评论

发布
暂无评论
发现更多内容

常用的文本检测与识别方法 - 第一节【文本检测与识别-白皮书-第三章】

合合技术团队

人工智能 机器学习 AI 文字识别 文字擦除

代码静态测试 | MISRA是什么?如何使用它来改进嵌入式编码?

龙智—DevSecOps解决方案

c 嵌入式设计 嵌入式开发

制造业转型加速密钥——低代码开发平台

力软低代码开发平台

一文读懂NodeJs知识体系和原理浅析

coder2028

node.js

odejs+Redis实现简易消息队列

coder2028

node.js

研发流程管理中,如何实现项目管理与代码信息的协同?

LigaAI

研发管理 解决方案 #GitLab LigaAI 企业号十月PK榜

模块二作业

知足🐏

细说Js中的this

hellocoder2029

JavaScript

IP设计是什么?为什么它很重要?

龙智—DevSecOps解决方案

知识产权 IP 芯片开发 IP核 IP核设计

Vue 2x 中使用 render 和 jsx 的最佳实践 (3)

默默的成长

前端 Vue 3 10月月更

Nodejs中的进程间通信

coder2028

node.js

细说js变量、作用域和垃圾回收

hellocoder2029

JavaScript

Java 19中新推出的虚拟线程到底是怎么回事儿?

Hollis

Java

2022-webpack5实战教程

Geek_02d948

webpack

Qt示例 | 数字时钟 Digital Clock Example

YOLO.

qt 10月月更 C++

TypeScript介绍和使用

默默的成长

typescript 前端 10月月更

AIGC时代到来?聊聊其中最出圈的语言模型GPT-3

Baihai IDP

AI NLP 大模型 AIGC GPT-3

图解ReentrantReadWriteLock读写锁的实现原理

JAVA旭阳

Java 并发 10月月更

CEF | 探索实现基于CEF框架的客户端

YOLO.

qt 10月月更 C++

推荐有礼 | 京东云推荐返利活动说明

京东科技开发者

京东云 云推客 代理商 分销 渠道

彻底搞懂JS原型与原型链

hellocoder2029

JavaScript

保10万涨薪、保Offer、保大厂,1V1私教服务上线啦

测试人

软件测试 涨薪 测试开发

ITSM | Forrester发布报告,7大重要见解总结IT运营状况

龙智—DevSecOps解决方案

IT运维

SAP | abap基本语法规则

暮春零贰

SAP abap 10月月更

SmartBear与龙智宣布建立战略合作伙伴关系

龙智—DevSecOps解决方案

合作 龙智

面向函数编程:关于函数式组件、dialog的api化

默默的成长

前端 Vue 3 10月月更

浅谈理想中的业务开发模式

久歌

架构 开发 技术架构 服务编排

APICloud AVM 框架 纵向滚动通知栏组件

YonBuilder低代码开发平台

BizWorks助力企业应用的高效开发与复用

阿里云E2企业云服务

阿里云 开发者 云原生 低代码

GameFi链游系统开发(NFT链游)

薇電13242772558

NFT

Nodejs相关ORM框架分析

coder2028

node.js

服务和Mashup的安全性_SOA_Steven Robbins_InfoQ精选文章