Обратите внимание, что новости можно получать по RSS.
X
-

Информационные технологии, LiveJournal cr_it - архив

28 ноября 2008, 21:43 (3341 день назад, №8747)"Web 3.0" и проблемы с безопасностью при разработке виджетов

Становится всё более ясным, что следующий этап развития Интернет выразится в переходе от сайтов с веб-страничками (неважно, статическими или динамическими) и браузеров, эти странички показывающих, к сервисам с документированным API и отдельным приложениям (Flex/Flash, Silverlight, Java(FX) и т.п.), которые будут с этими сервисами работать. Пока что эти приложения (часто называемые виджетами) мы чаще используем внутри браузера, но это, по-видимому, ненадолго, т.к. всем хочется интеграции с операционной системой, единого clipboard'а, drag-n-drop'a между различными приложениями и т.п. (Adobe AIR).

Помимо понятных угроз из-за доступности такому приложению вызовов функций ОС и доступа к её файлам, существует как минимум одна менее очевидная:
 

В любом сервисе, доступ к которому как-то ограничен (например, платном) существует понятие секретного ключа, по которому этот сервис идентифицирует конкретное приложение-клиент, имеющее право к нему обращаться.
До сих пор обработка данных и выполнение кода происходили главным образом не на клиенте и передача этого ключа осуществлялась между сервером на котором находится сайт и сервером предоставляющим сервис, благодаря чему пользователь-злоумышленник не мог получить этот ключ.
Теперь же ситуация принципиально меняется - приложение запускается на компьютере пользователя и связывается с удалённым сервером, предъявляя ему этот самый ключ. Если пользователь задумал плохое, у него целых два довольно простых пути - он может декомпилировать приложение и найти ключ, либо проанализировать трафик с той же целью.

В идеале, конечно, регистрация на сервисах должна быть организована так, чтобы собственный ключ получал каждый новый пользователь приложения. По разным причинам, на практике это почти всегда не так. Т.е. если я хочу сделать виджет, показывающий, к примеру, погоду, то, регистрируясь в сервисе предоставляющем погоду в виде XML, я получаю один ключ для моего виджета.  Соответственно, любой пользователь виджета, узнав этот ключ, может сделать такой же виджет и получать информацию о погоде за мои деньги.
Два выхода, которые могут как-то решить проблему - это HTTPS/TLS (мало какие сервисы его предоставляют и весьма неохотно - нагрузка на сервер возрастает) либо прокси, когда наш виджет все запросы пускает через наш же промежуточный прокси сервер, где к запросу добавляется ключ (недостаток - трафик через наш сервер плюс нагрузка на него же).
Бывают комбинированные решения. Например, в сервисе Amazon S3 можно запросы посылать через прокси (т.к. трафик небольшой), а файлы напрямую, предъявляя временный/сессионный ключ, полученный на запрос посланный ранее через прокси :)

В целом же описанная ситуация привела к тому, что виджетов, где пользователь платит за услугу значительные деньги или рискует важными данными - появляется мало. Скажу больше, у меня крепнет убеждение, что нежелание сервисов класть себе в корень файл crossdomain.xml (чтобы позволить прямые обращения к ним из Flex приложений) обусловлено нежеланием ассоциировать себя с массовыми потерями денег и данных пользователей и владельцев приложений.


Опубликовано: Пётр Соболев

Случайная заметка

6585 дней назад, 19:5111 января 2000 Исправляю свою двойную ошибку. На First Monday опубликованы две (отсюда - количество ошибок 8) статьи Николая Безрукова, основателя киевских семинаров Софтпанорама, ныне - Senior Internet Security Analyst at BASF Corporation, Professor of Computer Science at Fairleigh Dickinson University (NJ) and Webmaster of www.softpanorama.org. Обе статьи посвящены критике взглядов известного "проповедника" ...далее

Избранное

261 день назад, 01:575 мая 2017 Часть 1: От четырёх до восьми Я люблю читать воспоминания людей, заставших первые шаги вычислительной техники в их стране. В них всегда есть какая-то романтика, причём какого она рода — сильно зависит от того, с каких компьютеров люди начали. Обычно это определяется обстоятельствами — местом работы, учёбы, а иногда и вовсе — ...далее

1766 дней назад, 00:5922 марта 2013 Прочёл тут книжку - iWoz ( ссылка ) , 2006 года. Это автобиография Стива Возняка. Похоже, что на русский её не переводили (в отличие от книг про Стива Джобса). В этой парочке, как известно, Возняк был инженером (собственно, и спроектировавшим Apple I и II), а Джобс - скорее предпринимателем. В книге есть довольно интересные ...далее

870 дней назад, 23:404 сентября 2015 Небольшое видео про CC'2015 ( версия без фоновой музыки здесь: ссылка )

1238 дней назад, 03:121 сентября 2014 Мой семинар на Chaos Constructions'2014 (слайды можно в виде PDF скачать здесь: ссылка ) и несколько интервью с разными людьми: Вячеслав Славинский (svo) о Vectrex: ссылка Вячеслав Славинский (svo) о 3D Imager для Vectrex: ссылка Вячеслав Славинский (svo) о световом пере для Vectrex: ссылка ...далее