211service.com
Mashup drošība
Mashups — tiešsaistes lietojumprogrammas, kas apvieno datus un rīkus no dažādām vietnēm, kļūst arvien noderīgākas. Lai gan tās sākās kā vienkāršas patērētāju programmas, piemēram, rīks kas ievietoja mājokļu sarakstus no Craigslist uz Google kartes , mashups ir kļuvis sarežģītāks un kļūst populārs arī korporācijās. Tā kā tiek izlaists arvien vairāk rīku, kas palīdz cilvēkiem viegli izveidot jauktus, eksperti arī aplūko, kā novērst drošības riskus.

Nedrošs maisījums: Pašreizējās kombinācijas veidošanas metodes, kas apvieno datus un rīkus no vairākiem avotiem tīmeklī, var radīt drošības problēmas. Eksperti meklē veidus, kā saglabāt plašo radošo brīvību, ko piedāvā mashups, vienlaikus padarot tos drošākus. Tas jo īpaši attiecas uz biznesa lietotājiem, kuri vēlas izveidot sajaukumus.
Daudzi mashups koplieto tikai tekstu, saka Deivids Bolokers, līdzdibinātājs OpenAjax alianse un IBM Jauno interneta tehnoloģiju CTO. Sliktākajā gadījumā viņi riskē, iekļaujot nepareizus vai ar autortiesībām aizsargātus datus. Tomēr, tā kā kombinācijas kļūst sarežģītākas, tās ir sākušas iekļaut datora kodu no vairākiem avotiem. Šobrīd mēs pārejam uz neuzticamu kodu, saka Bolokers. Piemēram, nekustamo īpašumu uzņēmums varētu vēlēties kombināciju, kas strādātu ar ierakstiem no iekšējās datu bāzes. Mashup var palaist sarakstus, izmantojot trešo pušu rīkus, lai salīdzinātu ar konkurentu cenām tajos pašos pasta indeksos, un pēc tam izmantot papildu trešās puses rīku, lai kartētu visas tirgū esošās mājas. Bez drošības pasākumiem šī sajaukšana varētu padarīt uzņēmuma iekšējo datubāzi neaizsargātu pret ļaunprātīgu kodu jebkurā no šiem trešo pušu rīkiem.
Tīmekļa pārlūkprogrammas netika izstrādātas, ņemot vērā sajaukšanos, un kārpas ir bijušas jau no pirmās dienas, saka Bolokers. Pārlūkprogrammās ir drošības līdzeklis, ko sauc par tās pašas izcelsmes politiku, kas ir paredzēta, lai neļautu vienā vietnē mitinātam ļaunprātīgam kodam pārtvert datus, piemēram, saglabātos akreditācijas datus, ārpus citas vietnes. Tāda paša izcelsmes politika neļauj viena domēna vietnēm pieprasīt datus, kas pieder citam domēnam.
tomēr Helēna Vanga , vecākais pētnieks sistēmu un tīklu grupā plkst Microsoft izpēte , skaidro, ka vienas izcelsmes politika neizdodas, liekot tīmekļa lietojumprogrammām šodien upurēt drošību vai funkcionalitāti. Viņa saka, ka daudzas lieliskas funkcionalitātes, piemēram, jaukšanas funkcijas, rodas, izmantojot rīkus no vairākiem avotiem. Problēma ir tāda, ka tad, kad vietnes veidotājs savā vietnē ieguls trešās puses rakstītu kodu, tās pašas izcelsmes politika vairs nepiedāvā nekādu aizsardzību, un iegultajam kodam, iespējams, ir piekļuve informācijai, kas tiek glabāta satura veidotāja vietnē. Piemēram, ja foruma veidotājs savā vietnē ieguls kartēšanas lietojumprogrammu, kartēšanas lietojumprogrammas kods varētu piekļūt foruma pieteikšanās datiem. Mashup veidotāji, Vangs saka, vai nu atsakās no drošības, pieņemot šos riskus un uzticoties trešo pušu rīkiem, vai arī atsakās no funkcionalitātes, liedzot sev izmantot neuzticamus rīkus.
Čaks Viliss, galvenais drošības konsultants Mandiant , informācijas drošības firma, saka, ka daudzi izstrādātāji vēlētos, lai dažas kontroles, piemēram, vienas izcelsmes politika, tiktu atvieglotas. Viņš saka, ka vidusmēra lietotājam lietas paliek tādas, kādas tās ir, jo lielākā daļa lietotāju nesaprot, kādas sekas ir piekļuves piešķiršanai trešo pušu rīkiem. Taču centieni atslābināt esošos aizsardzības līdzekļus ir jāpieiet piesardzīgi.
Microsoft Wang ir strādājis pie problēmas risināšanas, nodrošinot pārlūkprogrammām veidu, kā atpazīt kodu, kas nāk no trešās puses, un apstrādāt šo kodu citādi nekā resursdatora vietnes. Viņa ierosina smilškastes tagā iekļaut trešās puses kodu, kas darbotos kā savdabīgs vienvirziena stikls. Tas ļautu lielākai vietnei izmantot smilškastē ietverto kodu, bet uzskatītu šo kodu kā neatļautu saturu un bez pilnvarām ārpus smilškastes. Jebkāda informācija, kas nepieciešama trešās puses kodam, var tikt iekļauta smilšu kastē. Tomēr, lai šis risinājums būtu efektīvs, smilškastes tagam ir jākļūst par pieņemtu tīmekļa standartu. Vanga ir izveidojusi Internet Explorer prototipu, kas atpazīst tagu, taču viņa atzīmē, ka būs vajadzīgs laiks, līdz tags tiks pieņemts visās pārlūkprogrammās.
Šī mēneša sākumā IBM izlaida drošības rīku SMash (saīsinājums no drošas mashups), kura mērķis ir atrisināt problēmu, nemainot pārlūkprogrammu. SMash ļauj vienā lapā parādīt saturu no vairākiem avotiem, kā arī ļauj rīkiem sazināties drošā veidā, skaidro Lerijs Koveds, IBM Research Web 2.0 drošības zinātnieks. Drošs saziņas kanāls pārrauga informāciju, kas tiek nosūtīta starp rīkiem, vienlaikus saglabājot to atsevišķās identitātes un atsevišķas atļauju kopas. Mashup veidotājs, izmantojot SMash, savieno katru rīku ar centrmezglu, kas pēc tam uzņemas atbildību par starp rīkiem nosūtīto ziņojumu uzraudzību, meklējot aizdomīgas darbības. Koveds saka, ka katrs mashup iekļautais rīks var kontrolēt, kā tā dati tiek pārveidoti un parādīti.
SMash, saka Boloker, maina iespēju cieši savienot logrīkus mashup ietvaros, lai nodrošinātu to drošu un viegli izgatavojamu. IBM plāno iekļaut SMash savā Lotus Mashup produktā, kas tiks izlaists šovasar, un uzņēmums ir arī ziedojis kodu OpenAjax Alliance, kas ļauj to izmantot jebkuram mashup ražotājam.
Kriss Vorners, mashup maker mārketinga direktors Džekbe , saka par esošajiem piedāvājumiem. Kopumā mashup drošība joprojām ir nedaudz mežonīgi Rietumi. Kā OpenAjax alianses dalībnieks, viņš saka, JackBe plāno atbalstīt SMash un citus standartus, kas izdoti ar alianses starpniecību. Viņš piebilst, ka nākamais solis mashup industrijā ir pārliecināties, ka mēs izstrādājam universālu drošības priekšstatu.