软件安全问题不断增加的原因二
更糟糕的是,大型企业又多了两种缺陷:We堋艮务和与它密切相关的面向服务的体系结构(Sen,ice Orientecl Archi[ecture,SOA)。虽然SOA是通过营销手段推出的流行模式,它仍然代表了一种许多安全专业人士认可的简洁方式:过去传统上不需要网络交互的应用程序正在成为与网络交互的应用程序,并且以服务的形式来发布它们的功能。
许多通用平台和组件,包括SAP、Oracle等(更不用说现在的J2EE和.NET应用程序), 以及COBOL和其他一些古老的大型机平台,都正被集成到巨型解决方案中。许多的这类应用程序和过去遗留下来的系统都不支持SSL之类的通用工具库和在互联环境中进行认证/授权的标准插件,甚至也不支持简单的加密应用。他们不具备目录服务的内置功能,而大型商店都使用目录服务来进行认证和授权。中间件供应商都声称他们能够很好地简化集成的复杂性并提供无缝互联,但是即使他们提供了互联性(通过JCA、WBI或者其他的任何方法),认证系统和应用程序级协议也无法协同工作。
因此,中间件集成实际上弱化成应用程序之间的某种组件,就像跨国企业的FTP-样。 更糟糕的是,商业公司总是害怕与更好的工具进行紧密的集成(因为缺少技术,没有项目预算或者对他们的基础设施队伍没有信心),因此他们不适用中间件,而是使用FTP,并且舍弃需要处理的数据块,而将数据操作转换成装载文件或者其他的应用程序输入。因为这类问题,过去遗留下来的产品集成经常收到两种巨大的问题的困扰:
◇完全依赖基于弱口令保护的主机到主机的认证:
◇对数据兼容性处理将会隐含地影响到用户的隐私(因为中间件对数据未加密传输, 中间件对失效设备援及负载均衡的实现都意味着缓存队列文件是以明文形式随处存放的)。
企业体系结构的当前发展趋势使得互联性所导致的问题比以前更加严重。
- 上一篇:软件安全问题不断增加的原因一
- 下一篇:软件安全问题之可扩展性