2010-08-19 13:58:52 来源: it168网站原创
部件或者迷你的Web应用都是可用来在各种Web 2.0 应用(如:人人网,Facebok,twitter或者是让企业从其他网页获取内容的应用)上表达自己的主流工具或Web插件。但是,随着Web2.0应用和Web插件的逐渐延伸到业务领域,我们也要开始防御存在于这些应用中的许多不利于企业的安全问题作斗争。
就此,我们将向大家介绍在将小部件整合到Web2.0环境前,如何保护企业的网页访问者,内部使用者以及公司的声誉。虽然有很多合法的Web2.0小部件可用于商业用途,但是部分用于从第三方网站整合内容,如Facebook,Twitter,谷歌等。这些部件可以轻易地传播恶意代码或促成攻击。
关于Web2.0部件
部件是独立的应用或来自第三方网页的可以独立使用或嵌入其他网页和网络应用的代码段。它们通常都会有内容显示出来,如新闻等。但是它们还可以执行其他功能,如显示Twitter订阅,或嵌入一个来自其他网页的最新博客帖子。
Twitter 部件让个人用户在网页上发表言论,而这些言论可以被实时更新。同理,Facebook部件也可以在用户访问第三方网页的时候获取Facebook的内容。
小部件可以用多种开发语言编写。基于Ajax的部件使用谷歌Ajax API来显示谷歌地图或其他谷歌应用。许多部件都使用嵌入式JavaScript代码段来让企业在网页上显示新产品信息或新闻。
以一个Twitter的资料部件为例,它可以在网页上显示最近发表的言论。JavaScript代码段只是简单地被嵌入在用户希望显示言论的地方。JavaScript在访问者的浏览器中执行,而发表的言论可以在页面上看到。基本上,网页会指导浏览器从多个不同网页浏览器里同时执行代码以便创建网页。
来自Web2.0部件的安全威胁
几年前,恶意代码的编写者开始将这些小部件作为攻击的工具。据Fortinet Inc的FortiGuard 中心在2008年出具的报告就强调Zango恶意代码就是通过一个恶意的Facebook部件传播的。类似的威胁并不新鲜,但是同样的情况却屡有发生,而它们也和web.2.0应用一样,都在不断进化。
Web2.0 部件为企业和个人用户都带来安全挑战。风险情境视所使用的部件而有所不同,不过一般个人用户会因访问恶意部件出现的网络感染和信息泄露等情况感到手足无措。
同样,面临Web2.0部件威胁的企业可能会将自己的Web2.0应用整合到客户或公共网页中。
这已经成为一种趋势,因为许多公司都想通过将来自社交平台的Web2.0部件整合到自己的网页和移动应用中从而使自己的网页访问量增加。
如果这些第三方的web2.0部件带有恶意代码,公司网页的访问者可能从各种网页,甚至是从看似合法的网址处执行恶意的JavaScript或移动代码。而公司也会突然发现自己成为了黑客向网页访问者和客户传播恶意代码的帮凶。
Web 2.0 部件:企业的防御策略
尽管如此,还是有很多种方法可以保障这些部件的安全,使其安全地被用户使用或是在创建混搭程式时在外部进行使用。
为了保护一个企业的网页访问者不受恶意Web 2.0部件的攻击,首先应该在嵌入第三方部件到企业网站时就保持一种安全意识。
程序员应该意识到这类部件的潜在威胁,在发布这些部件前要评估这些部件的安全性。将新的部件发布到网站中是件很容易的事情,因此,这样的考虑有可能被忽略。而后,单独部件的功能应该通过一个测试环境来进行验证,以确保基本的恶意代码不会被传播。程序员可以访问部件中的JavaScript代码,再仔细审查其功能性。
以Twitter数据流为例,如果要对整个部件进行恶意代码的测试,可以在测试页面创建一个Twitter帐号,这样当多种潜在的恶意内容被发布我们就可以一目了然。也可以使用自动进程来检查企业的网页来查找是否有恶意代码通过部件来传播。这类进程可能包含一个运行于电脑(电脑中有许多恶意代码)中的脚本。这个脚本可能会下载部件中的所有内容,然后对它们进行检测,看反恶意软件是否对这些代码发出了任何警报。
可以发布一个链接到EICAR测试文件病毒样本,然后看看自动进程是否能查探出样本病毒。这一操作不是对所有部件都有效,尤其是当一个部件是一个预编译二进制时。不过验证输出量是可行的。
要保护内部用户不受公司网络和数据的威胁,可以用标准的反恶意攻击软件。网络与端点防御的结合可以保护用户免受来自部件的恶意代码攻击。多种网络装置——通常与企业用来阻止基本恶意攻击,网页代理的设备是相同的——包括对社交网络的保护。有些装置以基本功能的方式提供这些保护,但是还有一些要求出示额外的证书或模块来监控威胁的种类。
意识到潜在威胁并提供合适的反恶意攻击可以有效阻止Web 2.0 部件的威胁。恶意的或者被黑过的Web 2.0部件可以轻松地传播有害于企业的第三方代码,窃取公司的敏感信息或者滥用公司的受信任客户。而且,企业不仅要意识到这些混搭程式具有潜在的危险性,还应该部署合适的保护和应对措施,以阻止其造成不必要的损失。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。