Belegarbeit

Sicherheitsaspekte der Integration und Kommunikation in dienstbasierten Mashup-Anwendungen

Aufgabenstellung

In modernen Web- und Mashup-Technologien verwendenden Anwendungen werden Daten und Inhalte aus verschiedenen verteilten Quellen miteinander kombiniert. Neben der Anbindung von externen Diensten, die Funktionalität bzw. Daten über weitgehend standardisierte Schnittstellen, z. B. Web Services und Feed-Formate, bereitstellen, hat sich mittlerweile die Verwendung komponentenbasierter User Interfaces zum Standard entwickelt. Dieser Trend manifestiert sich in der Verbreitung von Web-UI-Bibliotheken und Widget-Toolkits. Das Forschungsprojekt CRUISe widmet sich der Bereitstellung, Komposition und Integration solcher UI-Komponenten über Dienste (User Interface Services, UIS).

Das User Interface einer so entwickelten Webanwendung beinhaltet also potenziell Oberflächenkomponenten verschiedener UIS-Anbieter. Gerade bei Anwendungen, die im geschäftlichen Umfeld genutzt werden, wird großer Wert darauf gelegt, dass UIS sich gegenseitig nicht beeinflussen oder ungewollten Einfluss auf die gesamte Anwendung nehmen (Datenmanipulation, Ausspionieren, Blockierung). Die grundsätzlich im Webbrowser implementierte Same Origin Policy (SOP) stellt sicher, dass einzelne Komponenten in so genannten Sandbox Domains voneinander abgeschirmt werden können. Mit bestimmten Techniken kann die SOP umgangen werden (z. B. durch Inlining von script-Elementen), wodurch sowohl für die integrierten UIS als auch für die gesamte Anwendung Sicherheitsprobleme entstehen.

Ziel der Arbeit ist es, Techniken zur sicheren Kommunikation von Inhalten unterschiedlicher Anbieter in Mashups zu untersuchen und diese auf die in CRUISe verwendeten UIS zu übertragen. Neben einer Bewertung der Sicherheitsaspekte bei Verwendung verschiedener Kombinationen von Techniken soll eine Architektur zur komfortablen und sicheren Integration von UIS und deren Kommunikation, auch unter Berücksichtigung alternativer Integrationskontexte, konzipiert und prototypisch implementiert werden.

Im Einzelnen sind folgende Teilziele zu erreichen:

Untersuchung von Techniken zur Handhabung – insbesondere Umgehungsstrategien – der SOP in Bezug auf die gängigen aktuellen Webbrowser
Recherche zu möglichen Sicherheitsproblemen bei Integration von Fremdinhalten in Mashups
Anforderungsanalyse zur sicheren Kommunikation integrierter UI-Komponenten
Konzeption der Erweiterung der CRUISe-Architektur um die analysierten Sicherheitsaspekte
Prototypische Implementierung der Konzeption und anschließende Evaluation der Funktionstüchtigkeit anhand ausgewählter Testfälle

Weitere Informationen

Autor(en):	Jan Dietrich
Laufzeit:	01.05.2009 - 30.11.2009
Verantwortlicher HSL:	Prof. Dr.-Ing. Klaus Meißner
Betreuer:	Dr.-Ing. Andreas Rümpel
Institut, Lehrstuhl:	SMT, Multimediatechnik
Zugehörige Projekte:	CRUISe