四款工具帮你解决AJAX安全难题(1)(2)

来自FINJAN的VITAL SECURITY APPLIANCE
在安全厂商Finjan看来，Ajax就如同一个隐藏的Web，因为他的请求可以调用服务器端的代码而不在浏览器端有任何显示。基于Ajax的应用也可以查询Web服务，从而使黑客发起悄悄的工具。 
Finjan的Vital Security Appliance提供了最完整的基于浏览器活动的安全审核功能，Finjan的宗旨是不要相信进入浏览器的来自任何来源的任何代码，因此该软件可以保持任何来自客户的对任何站点更改的警惕性。
Vital Security Appliance加强终端用户的安全，通过提供一个在浏览器和外部Web服务器之间的入口。Finjan还提供反间谍软件和反病毒功能的扫描器、URL分类顾虑、内容类型探测和内容处理等工具。
Finjan的专利行为分析引擎可以迅速截获通过浏览器的代码，并分析其安全漏洞。不管数据格式和应用程序的状态如何，只要该代码试图访问注册表、系统文件或打开其他网络连接，检测工具就会检测到。
Finjan的检测工具可以跟踪经过编码、加密的代码。另外诸如文件删除、数据导出等操作也可以被识别和截获。Finjan的独一无二的分析技术可以只截获页面上的恶意脚步，而允许其他代码正常通过。该软件并不会阻挡页面加载，因为这会引起用户的不满。 
除了对基于HTTP的代码进行分析检测外，该Finjan的应用还可以对Ajax代码结构和Web服务输出进行监控，甚至包括SSL会话。几乎没有什么东西可以逃过Finjan的深度扫描工具。该软件甚至可以阻挡来自受感染的PC的木马攻击，来自网络的攻击同样也可以被屏蔽。
由于Vital Security Appliance的工作原理是根据检查行为而不是特征，因此一旦该应用程序被放到具体的环境中后，可以做出自己的选择。一旦他发现新的漏洞，并不一定必须从Finjan公司的实验室得到反馈。

来自FINJAN的VITAL SECURITY APPLIANCE
在安全厂商Finjan看来，Ajax就如同一个隐藏的Web，因为他的请求可以调用服务器端的代码而不在浏览器端有任何显示。基于Ajax的应用也可以查询Web服务，从而使黑客发起悄悄的工具。
Finjan的Vital Security Appliance提供了最完整的基于浏览器活动的安全审核功能，Finjan的宗旨是不要相信进入浏览器的来自任何来源的任何代码，因此该软件可以保持任何来自客户的对任何站点更改的警惕性。 
Vital Security Appliance加强终端用户的安全，通过提供一个在浏览器和外部Web服务器之间的入口。Finjan还提供反间谍软件和反病毒功能的扫描器、URL分类顾虑、内容类型探测和内容处理等工具。
Finjan的专利行为分析引擎可以迅速截获通过浏览器的代码，并分析其安全漏洞。不管数据格式和应用程序的状态如何，只要该代码试图访问注册表、系统文件或打开其他网络连接，检测工具就会检测到。
Finjan的检测工具可以跟踪经过编码、加密的代码。另外诸如文件删除、数据导出等操作也可以被识别和截获。Finjan的独一无二的分析技术可以只截获页面上的恶意脚步，而允许其他代码正常通过。该软件并不会阻挡页面加载，因为这会引起用户的不满。
除了对基于HTTP的代码进行分析检测外，该Finjan的应用还可以对Ajax代码结构和Web服务输出进行监控，甚至包括SSL会话。几乎没有什么东西可以逃过Finjan的深度扫描工具。该软件甚至可以阻挡来自受感染的PC的木马攻击，来自网络的攻击同样也可以被屏蔽。
由于Vital Security Appliance的工作原理是根据检查行为而不是特征，因此一旦该应用程序被放到具体的环境中后，可以做出自己的选择。一旦他发现新的漏洞，并不一定必须从Finjan公司的实验室得到反馈。
APACHE XAP
为了增强下一代Ajax应用的安全性，今天的Ajax框架必须发现一个方法来从手写的客户端脚步中识别出已知的安全缺陷。Apache的新XAP框架就可以做到这一点。和大多数Ajax库不一样，XAP通过管理数据存取和以XML展现代码，可以产生安全的Ajax应用。
XAP最初是由Nexaweb开发的，除了XAP外，Nexaweb提供了一个服务器端的平台，可以从SOA系统和数据库系统分发内容到基于Ajax和基于Java的客户端。现在大多数Nexaweb的客户主要使用基于Java的客户端来处理关键应用。因为通过Java的成熟的Swing API，开发者可以创建功能丰富的客户端应用。
然而，XAP的独特的体系结构具有关键的优势，允许开发者使用XML来表示客户端代码，以及不需要任何客户端脚步就可以实现数据交互，这大大减少了可能产生安全缺陷的机会。
XAP主要包含三个主要组件：用户界面、数据绑定层和插件程序。界面部分可以根据XML数据的描述产生丰富的用户界面。开发者只需要以XML格式描述用户界面就可以，XAP就可以自动产生HTML和JavaScript代码。开发者不用非要使用DOM API或CSS来产生图片，Nexaweb提供了一个针对Eclipse的可视插件，使得开发者可以通过拖拽图形元素来创建用户界面。
XAP的Ajax安全模型在于其数据绑定部分中。通过数据绑定层，开发者可以表述如何连接到数据源。XAP引擎可以连接到任何服务器端的数据源或Web服务。开发者还可以使用数据绑定组件来绑定数据到用户界面中。这两个任务都不需要编码就可以完成。
通过XAP引擎，开发针可以根据对每一个用户界面元素的描述，产生不同类型的数据绑定。例如，XAP支持单向和双向的数据绑定。由于XAP的JavaScript API来处理验证工作，开发者不用关心如何编写数据验证程序。
XAP的插件体系可以与来自第三方的Ajax工具配合使用，因此开发者可以获得更大范围的功能和特性。插件体系使用了一种桥机制，可以把任何Ajax框架或工具转化成XAP可以读懂的XML形式。 
初次安装的时候，XAP提供了一个插件支持开源Dojo工具。XAP使用Dojo来实现图形表现和用户界面组件的开发。Dojo工作组目前正在开发矢量图形以改善他的用户界面表现能力。

(责任编辑：铭铭 mingming_ky@126.com TEL：（010）68476636)