Clientseitige Sicherheitsbedrohungen vermeiden

Die Technologien, die weitreichende interaktive Erfahrungen zulassen, führen leider auch dazu, dass Anwendungen weniger sicher sind. Rich UI-Anwendungen sind wie jede Web 2.0-Anwendung empfänglich für Sicherheitsschwachstellen, zu denen das Cross-Site Scripting, die SQL-Injection und das JavaScript-Hijacking gehören.

Wenn Sie EGL verwenden, sind Sie vor einigen dieser clientseitigen Bedrohungen geschützt. EGL verhindert mithilfe von JavaScript Object Notation (JSON) oder XML beispielsweise, dass zerstörerische Daten an den Client gesendet werden. Es schützt auch die Verwendung von 'eval' im Laufzeitcode. EGL kann jedoch nur sehr schwer einen Schutz gegen bestimmte Formen von Attacken bieten, wie beispielsweise Cross-Site Scripting und die SQL-Injection, ohne die Anwendungsarten, die Kunden schreiben können, zu begrenzen.

Sie können verhindern, dass nicht authentifizierte Clients den Proxy aufrufen, und die Möglichkeit, dass der Proxy missbraucht wird, dadurch verkleinern, dass Sie den EGL Rich UI-Proxy mit der JEE-Sicherheit schützen. Dennoch verhindert das Schützen des Proxys durch JEE-Sicherheit nicht, dass nicht authentifizierte Benutzer den Proxy für nicht vorgesehene Zwecke verwenden. Je stärker Sie Ihre Benutzerregistry steuern, desto sicherer ist Ihr Proxy. Ein Systemadministrator sollte daher den Zugriff auf die Benutzerregistry aus Sicherheitsgründen steuern.

Wenn Sie Ihre eigene Anmeldeanzeige verwenden, statt der von der formularbasierten JEE-Authentifizierung bereitgestellten Anmeldeanzeige oder den durch die JEE-Basisauthentifizierung vom Browser bereitgestellten Anmeldedialog, können Sie ein Protokoll der Endbenutzer führen, die auf Ihre Rich UI-Anwendung zugreifen. (Wenn Sie die JEE-Sicherheit verwenden, können Sie in Ihrer Rich UI-Anwendung keine Benutzer-IDs vom Anwendungsserver abrufen.) Dieses Protokoll hilft Ihnen, die schuldige Partei zu ermitteln, wenn ein nicht authentifizierter Benutzer Ihren EGL Rich UI-Proxy illegal verwendet - von Aufrufen von Web-Services in anderen Domänen bis zum Initiieren von JavaScript-Hijacking-Attacken. Lesen Sie auch in der Dokumentation zu Ihrem Anwendungsserver nach, ob vom Server Protokolle verwaltet werden, die eine Hilfe für Sie darstellen können.


Feedback