Mashup Security

Mashups – online aplikace, které kombinují data a nástroje z různých webů – jsou stále užitečnější. Přestože začínaly jako jednoduché spotřebitelské programy, jako např nástroj která umístila nabídky bydlení z Craigslist na Google mapy , mashupy nabyly na složitosti a stávají se oblíbenými i u korporací. Vzhledem k tomu, že se uvolňuje rostoucí počet nástrojů, které lidem pomáhají snadno vytvářet mashupy, odborníci se také zabývají tím, jak předejít bezpečnostním rizikům.

Nejistý mix: Současné metody vytváření mashupů, které kombinují data a nástroje z více zdrojů na webu, mohou představovat bezpečnostní problémy. Odborníci hledají způsoby, jak zachovat širokou tvůrčí svobodu, kterou mashups nabízí, a zároveň zajistit jejich bezpečnější použití. To je zvláště důležité pro podnikové uživatele, kteří chtějí vytvářet mashupy.

Mnoho mashupů sdílí pouze text, říká David Boloker, spoluzakladatel společnosti Aliance OpenAjax a IBM CTO Emerging Internet Technologies. Riskují, v nejhorším případě, včetně nesprávných nebo chráněných dat. Jak se však mashupy stávají složitějšími, začaly začleňovat počítačový kód z více zdrojů. V tomto okamžiku se nyní dostáváme k nedůvěryhodnému kódu, říká Boloker. Například realitní společnost může chtít, aby mashup pracoval s výpisy z interní databáze. Mashup může spustit výpisy prostřednictvím nástrojů třetích stran pro srovnání s cenami konkurentů ve stejných PSČ a poté použít další nástroj třetí strany k mapování všech domů na trhu. Bez bezpečnostních záruk by tento mashup mohl učinit interní databázi společnosti zranitelnou vůči škodlivému kódu v kterémkoli z těchto nástrojů třetích stran.

Webové prohlížeče nebyly navrženy s ohledem na mashupy a bradavice tam byly od prvního dne, říká Boloker. Prohlížeče obsahují bezpečnostní funkci nazvanou zásada stejného původu, která má zabránit škodlivému kódu hostovanému na jednom webu získat data, jako jsou uložené přihlašovací údaje, z jiného webu. Zásady stejného původu brání webům z jedné domény vyžadovat data patřící do jiné domény.

Nicméně, Helen Wang , vedoucí výzkumný pracovník ve skupině systémů a sítí ve společnosti Výzkum společnosti Microsoft , vysvětluje, že politika stejného původu selhává tím, že dnešní webové aplikace nutí obětovat zabezpečení nebo funkčnost. Říká, že mnoho skvělých funkcí, jako je funkce mashupů, pochází z používání nástrojů z více zdrojů. Problém je v tom, že když tvůrce webu vloží na svůj web kód napsaný třetí stranou, zásady stejného původu již nenabízejí žádnou ochranu a vložený kód má pravděpodobně přístup k informacím uloženým na webu tvůrce. Pokud například tvůrce fóra vloží na svůj web mapovací aplikaci, kód v mapovací aplikaci by mohl potenciálně získat přístup k přihlašovacím údajům pro fórum. Tvůrci mashupů, říká Wang, se buď vzdají zabezpečení tím, že přijmou tato rizika a důvěřují nástrojům třetích stran, nebo se vzdají funkčnosti tím, že si odmítnou používat nedůvěryhodné nástroje.

Chuck Willis, hlavní bezpečnostní konzultant pro Mandiant , firma zabývající se bezpečností informací, říká, že mnoho vývojářů by si přálo, aby se některé ovládací prvky, jako je politika stejného původu, uvolnily. Průměrný uživatel potřebuje, aby věci zůstaly tak, jak jsou, říká, protože většina uživatelů nechápe důsledky poskytnutí přístupu k nástrojům třetích stran. Ke snahám o uvolnění stávající ochrany je však třeba přistupovat opatrně.

Wang z Microsoftu pracuje na vyřešení problému tím, že poskytuje prohlížečům způsob, jak rozpoznat kód, který pochází od třetí strany, a zacházet s ním jinak než s kódem z hostitelské webové stránky. Navrhuje vložit kód třetí strany do značky sandbox, která by fungovala jako druh jednosměrného skla. Většímu webu by to umožnilo využívat kód obsažený v karanténě, ale zacházet s tímto kódem jako s neautorizovaným obsahem bez oprávnění mimo karanténu. Veškeré informace, které kód třetí strany vyžadoval, lze zahrnout do karantény. Aby však bylo toto řešení efektivní, musel by se tag sandbox stát uznávaným webovým standardem. Wang vytvořila prototyp Internet Exploreru, který značku rozpozná, ale poznamenává, že by trvalo nějakou dobu, než by značku přijaly všechny prohlížeče.

Začátkem tohoto měsíce IBM vydala bezpečnostní nástroj nazvaný SMash (zkratka pro bezpečné mashups), jehož cílem je vyřešit problém bez změny prohlížeče. SMash umožňuje zobrazení obsahu z více zdrojů na jedné stránce a umožňuje nástrojům komunikovat bezpečným způsobem, vysvětluje Larry Koved, bezpečnostní vědec webu 2.0 z IBM Research. Zabezpečený komunikační kanál monitoruje informace zasílané mezi nástroji, přičemž stále zachovává jejich oddělené identity a samostatné sady oprávnění. Tvůrce mashup pomocí SMash připojí každý nástroj k rozbočovači, který se poté ujme monitorování zpráv zasílaných mezi nástroji a hledá podezřelou aktivitu. Koved říká, že každý nástroj zahrnutý v mashupu může řídit, jak jsou jeho data transformována a prezentována.

SMash, říká Boloker, vyměňuje možnost těsně propojit widgety v rámci mashupu, aby byl bezpečný a snadno proveditelný. IBM plánuje začlenit SMash do svého produktu Lotus Mashups, který bude uveden na trh letos v létě, a společnost také darovala kód OpenAjax Alliance, která umožňuje jeho použití všem výrobcům mashupů.

Chris Warner, ředitel marketingu výrobce mashup JackBe , říká o stávajících nabídkách, Obecně platí, že zabezpečení mashup je stále trochu divoký západ. Jako člen OpenAjax Alliance, říká, JackBe plánuje podporovat SMash a další standardy vydané prostřednictvím aliance. Dodává, že dalším krokem pro mashupový průmysl je zajistit, že vytvoříme univerzální obraz bezpečnosti.

skrýt

211service.com

Mashup Security

Nejlepší

Newsweek říká, že byl nalezen tvůrce bitcoinů Satoshi Nakamoto

Facebook a Twitter zasahují proti účtům čínské propagandy

Dubajský koncept Hyperloop vypadá neuvěřitelně působivě

Potřebujeme počítače s empatií

Jak byl Obama nebezpečně naivní ohledně STUXNETu a kybernetické války

Kategorie

Populární Články