豊富な対話式エクスペリエンスを実現するテクノロジーは、同時にアプリケーションのセキュリティー性を低下させる可能性があります。 Rich UI アプリケーションは、Web 2.0 アプリケーションの脅威 (クロス・サイト・スクリプティング、SQL インジェクション、および JavaScriptハイジャッキングなど) となるセキュリティー上のぜい弱性の影響を受けやすいアプリケーションです。
EGL を使用すると、このようなクライアント・サイドの一部の脅威を防止できます。 例えば、EGL は、JavaScript オブジェクト表記 (JSON) または XML を使用して、悪意のあるデータがクライアントに送信されることを防止します。また、ランタイム・コードでの「eval」の使用も保護します。 しかし、EGL を使用しても、お客様が書き込むことができるアプリケーションのタイプを制限せずに特定のタイプの攻撃 (クロス・サイト・スクリプティングや SQL インジェクションなど) を防止することは、非常に困難なものとなっています。
非認証クライアントによるプロキシーの呼び出しを防止できます。また、JEE セキュリティーを使用して EGL Rich UI プロキシーを保護することで、プロキシーの誤用が発生する可能性を抑えることができます。 ただし、JEE セキュリティーでプロキシーを保護しても、認証ユーザーが意図的でない目的でプロキシーを使用することは防止できません。 ユーザー・レジストリーを厳重に管理するほど、プロキシーのセキュリティー性も向上します。 そのため、セキュリティー上の理由から、システム管理者がユーザー・レジストリーのアクセスを管理する必要があります。
JEE フォーム・ベース認証で提供されるログイン画面や、JEE 基本認証のブラウザー提供のログイン・ダイアログではなく、自分独自のログイン画面を使用している場合、ご使用の Rich UI アプリケーションにアクセスしたエンド・ユーザーのログを取り続けることができます (ご使用の Rich UI アプリケーションにおいて、JEE セキュリティーを使用している場合、アプリケーション・サーバーからユーザー ID を取得することはできません)。このログは、認証ユーザーが、他のドメインでの Web サービスの呼び出しや、JavaScriptハイジャッキング攻撃などの目的で EGL Rich UI プロキシーを不正に使用している場合に、その犯人を突き止める際に役立ちます。アプリケーション・サーバーの文書も検査し、役立つログがあるかどうかも確認してください。