tisdag 31 mars 2009

Summering dag två

Puh, man börjar bli seg i kolan. Inte van att lyssna (och tänka?) så mycket. Var det så här jag plågade mina studenter i Linköping? :)


Efter två av fem dagar börjar jag få en känsla för hur vi ligger till. Forskningsvärlden har noterat att säkerhet i webbapplikationer är det största säkerhetsproblemet vi har just nu. Därför gör man stora ansträngningar för att hjälpa till.

Problemet är att många av de tekniker som har möjliggjort webbens fantastiska utveckling -- HTML, HTTP, JavaScript, magic cookies, CSS, DOM, same-origin-policy -- är konstruerade utan någon större erfarenhet av eller intresse för säkerhet. Därför har samma misstag upprepats som när vi byggde operativsystem och applikationer för dem. Vilka misstag? Jo ... data och kod blandas, skydd klistras på i efterhand, fokus ligger på olika specialhack istället för de grundläggande problemen, och det är notoriskt svårt att utveckla säkra webbapplikationer eftersom man måste kunna en massa kring just säkerhet.

Forskare i industri och akademi slåss med allt de har för att försöka säkra upp befintliga protokoll och tekniker. Samtidigt utvecklas och uppgraderas språk, specar och plattformar i en rasande takt. Ovanpå det har vi den explosionsartade utvecklingen av tjänsterna själva. Vi har inte på länge sett kraften i den befintliga tekniken. Molnet och RIA är i sin linda.

Så ... det känns både spännande och en aning tröstlöst. Vi måste lyckas säkra upp webben eftersom vi vill ha den. Men det kommer bli förbaskat svårt eftersom vi i vanlig ordning ligger efter utvecklingen.

Å andra sidan, om säkerhetsfolket hade fått bestämma allt så hade vi suttit med Lynx och HTTPS, inget mer. Eller? ;)

Signing off day 2
/John

Inga kommentarer: