211service.com
Sicurezza di mashup
I mashup, applicazioni online che combinano dati e strumenti di diversi siti Web, stanno diventando sempre più utili. Sebbene siano iniziati come semplici programmi per i consumatori, come uno strumento che ha inserito annunci di alloggi da Craigslist su Google Maps , i mashup sono cresciuti in complessità e stanno diventando popolari anche tra le aziende. Man mano che viene rilasciato un numero crescente di strumenti per aiutare le persone a creare facilmente mashup, gli esperti stanno anche esaminando come evitare i rischi per la sicurezza.
Un mix insicuro: Gli attuali metodi per creare mashup, che combinano dati e strumenti da più fonti sul Web, possono introdurre problemi di sicurezza. Gli esperti stanno cercando modi per preservare l'ampia libertà creativa offerta dai mashup, rendendoli più sicuri da usare. Ciò è di particolare interesse per gli utenti aziendali che desiderano creare mashup.
Molti mashup condividono solo testo, afferma David Boloker, cofondatore del OpenAjax Alliance e di IBM CTO di Emerging Internet Technologies. Rischiano, nel peggiore dei casi, di includere dati errati o protetti da copyright. Tuttavia, man mano che i mashup diventano più complessi, hanno iniziato a incorporare il codice del computer da più fonti. A questo punto, stiamo passando a un codice non attendibile, afferma Boloker. Ad esempio, una società immobiliare potrebbe volere che un mashup funzioni con gli elenchi di un database interno. Il mashup potrebbe eseguire gli elenchi tramite strumenti di terze parti per il confronto con i prezzi della concorrenza negli stessi codici postali, quindi utilizzare uno strumento aggiuntivo di terze parti per mappare tutte le case sul mercato. Senza garanzie di sicurezza, questo mashup potrebbe rendere il database interno dell'azienda vulnerabile al codice dannoso in uno qualsiasi di questi strumenti di terze parti.
I browser Web non sono stati progettati pensando ai mashup e le verruche sono state lì dal primo giorno, afferma Boloker. I browser contengono una funzione di sicurezza chiamata politica della stessa origine che ha lo scopo di impedire al codice dannoso ospitato su un sito di acquisire dati, come le credenziali archiviate, da un altro sito. La politica della stessa origine impedisce ai siti Web di un dominio di richiedere dati appartenenti a un altro dominio.
Tuttavia, Helen Wang , ricercatore senior nel gruppo di sistemi e reti presso Microsoft Research , spiega che la politica della stessa origine fallisce costringendo le applicazioni Web odierne a sacrificare la sicurezza o la funzionalità. Dice che molte grandi funzionalità, come quella dei mashup, derivano dall'utilizzo di strumenti da più fonti. Il problema è che quando il creatore del sito Web incorpora codice scritto da una terza parte sul suo sito, la politica sulla stessa origine non offre più alcuna protezione e il codice incorporato probabilmente ha accesso alle informazioni memorizzate sul sito del creatore. Ad esempio, se il creatore di un forum incorpora un'applicazione di mappatura nel suo sito, il codice nell'applicazione di mappatura potrebbe potenzialmente accedere ai dati di accesso per il forum. I produttori di mashup, afferma Wang, o rinunciano alla sicurezza accettando quei rischi e fidandosi di strumenti di terze parti, oppure rinunciano alla funzionalità negando a se stessi l'uso di strumenti non attendibili.
Chuck Willis, consulente principale per la sicurezza per Mandiant , un'azienda di sicurezza delle informazioni, afferma che molti sviluppatori vorrebbero che alcuni dei controlli, come la politica della stessa origine, fossero allentati. L'utente medio ha bisogno che le cose rimangano come sono, afferma, poiché la maggior parte degli utenti non comprende le conseguenze dell'accesso a strumenti di terze parti. Ma gli sforzi per allentare le protezioni esistenti devono essere affrontati con cautela.
Wang di Microsoft ha lavorato per risolvere il problema fornendo ai browser un modo per riconoscere il codice proveniente da terze parti e trattarlo in modo diverso da quello del sito Web host. Propone di racchiudere codice di terze parti in un tag sandbox, che agirebbe come una sorta di vetro unidirezionale. Consentirebbe al sito Web più grande di utilizzare il codice contenuto nella sandbox, ma tratterebbe quel codice come contenuto non autorizzato, senza alcuna autorità al di fuori della sandbox. Qualsiasi informazione richiesta dal codice di terze parti potrebbe essere inclusa all'interno della sandbox. Tuttavia, affinché questa soluzione sia efficace, il tag sandbox dovrebbe diventare uno standard Web accettato. Wang ha costruito un prototipo di Internet Explorer che riconosce il tag, ma osserva che ci vorrebbe del tempo prima che il tag venga adottato in tutti i browser.
All'inizio di questo mese, IBM ha rilasciato uno strumento di sicurezza chiamato SMash (abbreviazione di secure mashup) che mira a risolvere il problema senza modificare il browser. SMash consente la visualizzazione di contenuti provenienti da più fonti su un'unica pagina e consente agli strumenti di comunicare in modo sicuro, spiega Larry Koved, scienziato della sicurezza Web 2.0 per IBM Research. Un canale di comunicazione sicuro monitora le informazioni inviate tra gli strumenti, pur mantenendo le loro identità separate e set di autorizzazioni separati. Un creatore di mashup che utilizza SMash collega ogni strumento a un hub che si occupa quindi di monitorare i messaggi inviati tra gli strumenti, alla ricerca di attività sospette. Koved afferma che ogni strumento incluso nel mashup può controllare come i suoi dati vengono trasformati e presentati.
SMash, afferma Boloker, rinuncia alla capacità di interconnettere strettamente i widget all'interno di un mashup per mantenerlo sicuro e facile da realizzare. IBM prevede di incorporare SMash nel suo prodotto Lotus Mashups, che verrà rilasciato quest'estate, e l'azienda ha anche donato il codice alla OpenAjax Alliance, che consente a qualsiasi produttore di mashup di utilizzarlo.
Chris Warner, direttore marketing di mashup maker JackBe , afferma delle offerte esistenti, In generale, la sicurezza dei mashup è ancora un po' un selvaggio West. In qualità di membro dell'OpenAjax Alliance, afferma, JackBe prevede di supportare SMash e altri standard rilasciati attraverso l'alleanza. Aggiunge che il prossimo passo per l'industria del mashup è assicurarsi di sviluppare un'immagine universale della sicurezza.