日本IBMらがWeb 2.0向けセキュリティ技術を開発、OpenAjaxへ寄贈:ニュース - ZDNet Japan
日本IBMは3月13日、ウェブサイトや企業のデータベース、電子メールなど複数の情報から統合されたビューを創り出すマッシュアップ技術を使ったWebアプリケーションの安全を確保する新しいテクノロジー「SMash」を、東京基礎研究所およびワトソン研究所の研究員が共同で開発したと発表した。 企業がリスクを負わずに価値あるシチュエーショナルアプリケーション(状況依存型アプリケーション)を実現することに、コードネーム「Smash」は貢献するという。SMashは「Secure Mashup」の略語で、異なる提供元からのウェブアプリケーションコンポーネントの独立性を保ちつつ、相互に情報を交換できるようにすることで、悪意あるプログラムが企業システムに入り込むことを防ぐという。 また日本IBMは、消費者やビジネスユーザーがマッシュアップテクノロジーを活用する機会を提供するため、この技術をOpenAjax Allianceに寄贈したこともあわせて発表している。
こちらにもうちょっと詳しく記事:
Can IBM SMash Enterprise Mashup Security Fears? - SaaS - Network Computing
SMashはJavaScriptで書かれており、Ajaxベースのマッシュアップのみに有効。
XMLあるいはJSONでいろいろな場所のサービスをコールする際に、相手先を確認する。
最初に許容するサービスのリストを作っておいても良いし、信用情報のようなサービスに問い合わせて有効性を確認することもできる。 信用情報サービスについては、IBMがまず提供する予定。
ライセンスはApache。
認証の仕組みは選択できて、Kerberos、PKI、SAMLなど。
IBMが2008年夏に予定しているLotus Mashupsで採用される予定。
クロスサイトスクリプティングのような直接的なWebの脅威については対応しない。
プログラムはSourceForgeからOpenAjaxの一部としてダウンロード可能。
http://sourceforge.net/projects/openajaxallianc
IBMによるホワイトペーパー:
http://domino.research.ibm.com/library/cyberdig.nsf/1e4115aea78b6e7c85256b360066f0d4/0ee2d79f8be461ce8525731b0009404d?OpenDocument
Leave a comment