Web 2.0 早已不是什麼新話題。過去的幾年內,知名度高如 Google、Yahoo、MySpace、PayPal 等大站,也都無法完全免疫,而陸續爆發過各種攻擊事件(釣魚、蟲…)。Web 2.0 網站不管是選擇用 AJAX 、Flash,還有逐漸風行的離線解決方案,如 Dojo Offline、Google Gears 、Adobe AIR 等,來提供互動性更高的 UI,只要一不小心,這些 Web 應用出現安全漏洞、被壞人佔便宜的機率,其實是很高的。有時候不僅是自己的 code,而問題也可能出現在第三方提供的現成工具箱、API。
要如何防範?對網站開發人員而言,在過去,對這個主題的探討,往往比較零散,要不就偏學術,要求較高的門檻(例如 OWASP 發表的文獻),一直缺乏系統化,全面性,且深入淺出的探討。不久前終於出了一本好書 — AJAX Security,作者為 Billy Hoffman 和 Bryan Sullivan 這兩位 Web 2.0 安全的專家(過去在零星的安全相關報道中,也常出現他們兩位的影子)。在此強烈推薦這本書,給所有從事與 Web 2.0 開發相關的網友。儘管書名選擇叫 “AJAX” Security,但事實上,除了 AJAX 之外,Flash 安全,甚至於如何將 CSS 這種看似無害、展現層的東西,拿來攻擊的方法,在書中都有深入探討(第十二章)。儘管這樣的書,早該出現,但出版時間晚,反而也做出一些額外的貢獻 — 比較新的科技,如上述的 Google Gears 和 Dojo 離線工具箱的安全弱點,在書中都涵蓋了。希望它盡快能被翻譯成中文,以造福更多大眾。
more »
無巧不成 blog。
大約在半年前寫過關於 PaaS (Platform as a Service) 和亞馬遜的 AWS (可謂 PaaS 鼻祖)。上周有位記者朋友向我詢問相關資訊,打算做個深入報道。同樣在上周,看到有篇 blog,談到一個馬路訊息,說 Google 很快就要開始「搶亞馬遜」 的午餐了。當時看了以後,只覺得這個可能性的確存在,但不知何時才會發生。沒想到來得這麼快 — 幾個小時前,華爾街日報報道,Google 也將開始做基礎設施租賃的生意。
亞馬遜最早開發 AWS 的念頭來自於 — 既然我自己能把基礎設施玩得這麼好,為什麼不乾脆把它鬆耦合化,當成一門生意 outsource 出去?Google 玩基礎設施、電腦中心這方面的效率是出了名的(之前也寫過),這是他們的核心競爭實力,對公司財務報表的 bottom-line,帶來很大的貢獻,放眼 Web 的世界,可說無人能敵。所以本著同樣的論點,Google 可說非常有資格做 PaaS 這門生意。
more »
REST 是好東西,但受到兩個問題的拖累。
之前已經寫過一些對 REST 的簡介和看法。不久前恰好又在中文版的 infoQ 網站上看到一篇剛翻譯成中文的文章,發現一些問題,於是又把整個 REST vs. SOAP 的論戰再仔細看過一遍,刀光劍影,娛樂性十足。好訊息是,最近這幾個月,比較聳動或炒作性的 REST 話題似乎開始從網站、雜誌頭版消失。就來回顧和總結一下,事情其實很簡單,REST 是被兩個問題給害了。
more »
註:這陣子參與編寫一本專為下個月在上海的 BEAWorld 大會所準備的 SOA 專刊,因篇幅關係,部分內容無法納入,在此將其以blog形式發表,並將詞彙調整成台灣IT界比較慣用的說法。
SOA 參考架構 (Reference Architecture) 是一個框架,使各個專案都有一個遵循的依據,藉以促進一致性、最佳典範,和標準化。參考架構並不該受限於目前的 IT 現況,而應針對一個經過深思熟慮的願景目標;它可說是 IT 用來指導未來所有的新開發工作,藉以實現該目標的參考依據。一般來說,2-3 年的規劃,是一個比較合適的涵蓋範圍,既能提供足夠的時間來達成服務導向的轉型,又不至於過於長遠而虛幻。因此,參考架構提供了一個溝通目標願景的方法,協助部門和角色各異的 IT 人員,逐漸朝向該目標會合。
高效的 SOA 需要採用新的方法來對待 IT 基礎設施,並且根據個別企業的需求來量身定做,並將服務基礎架構、共享的技術服務、安控服務,以及資訊/資料、和Legacy系統擷取服務等,全部定義在內。
more »
註:這陣子參與撰寫一本專為下個月在上海的 BEAWorld 大會所準備的 SOA 專書,以下將我負責寫的部分整理摘錄。
SOA 承諾許多美好的願景,IT 體質經過調養,轉變成敏捷、靈活,能快速回應業務需求的有機體。但如果只有一個崇高的目標願景,卻缺乏一套有效的體制和方法,千頭萬緒不知從何下手,那麼願景將持續是高遠的願景,依然是那麼地遙不可及。
建設一個企業級的服務導向架構,不論在規劃、施工、維運,乃至於治理 (Governance) 這些關鍵課題上,都能從多年來在城市建設領域所累積的經驗和教訓中,得到許多借鏡。
more »
[10/19/2007 更新]
以前寫過一個關於 Amazon Web Services (AWS) 的帖子,這應該算是第一個對 Web 2.0/SOA 基礎設施租賃市場的大規模嘗試。不久前接受 iTHome 採訪,起因於微軟的 Internet Service Bus,一個小規模、提供給開發者作實驗性的嘗試。
我對 AWS 、以及它所試探的潛在市場,基本上樂觀其成,自從 AWS 推出 S3, SQS 和 EC2 後,已經出現了許多有趣的加值應用,例如有人用它來建構新一代的 B2B/EDI VAN,Doug Kaye 在這個 podcast 中,則侃侃而談,說明如何利用 AWS 的基礎設施,設計出 GigaVox 這個 podcast 平台的架構。在 podcast 討論中,Kaye 除了講解他如何善用 Amazon 出租的資料服務 S3,中介訊息服務 SQS,和建立在 Xen 上的虛擬化平台 EC2,來設計出他的應用架構外, 還談到作為一個 early adopter,所遇到的種種限制問題,如何克服,更提供了 Amazon 未來對 AWS 的改進參考。不意外,就像所有軟體一樣,這種直接透過網路租用的軟體服務,目前仍屬於非常早的階段,當然還有不少可進一步完善的空間。這類的案例,非常有助於我們對此類服務的完備和成熟程度,進行更客觀的了解。
more »
觀察過去一年 SOA 在美國的發展,一個愈來愈明顯的趨勢是,SOA 和傳統 EA (Enterprise Architecture;企業架構) 領域逐漸在協作和融合。不久前,美國知名的 SOA 顧問大衛•林錫肯,David Linthicum 在一個由 The Open Group 主辦的大會上預言:五年後,大家將不再像現在這麼看待 SOA,因為 SOA 將逐漸融入 EA,變成只是 EA 實踐中的一部份。此話一出,引發各方激烈的討論。
對於絕大多數 IT 從業人員來說,”EA” 一直是個模糊而遙遠的名詞,儘管它已經悄悄存在約二十來年了(這點,從 EA 相關書籍數量之少,便可看出)。在許多世界五百大、一千大的大企業中,儘管在 IT 中存在著 EA 的組織,但這些架構師在組織外的其他 IT 同事眼中,往往是一小撮象牙塔里的文書官僚 (paper-pushers),對於他們實際的工作內容,往往非常陌生,也不關心;許多項目實施團隊,對於 EA 架構小組所制定的各種標準和規範,甚至採取 “上有政策,下有對策” 的態度。
more »
去年我曾用 Google Trends(提供英文和簡體中文兩種介面),來一探 SOA 和 Web 2.0 的市場熱度。今天再次利用 Google Trends,外加百度指數,來試探一下 SOA 和 EA(Enterprise Architecture;想在下篇探討的主題)各自的溫度,除了有些在去年就看到的趨勢之外,另一方面也印証了我和同事劉松等在市場上觀察到的現況,此外還有一個純屬巧合的有趣現象。
more »
2005 年底,著名 IT 分析機構 Gartner 的一個分析師 Nick Gall 發明了一個新詞 — WOA (Web-Oriented Architecture) 。大家知道,發明新縮寫字 (acronym) 一向是 Gartner 的絕活。幾個月後,SOA 界著名的 blogger 和專欄作家 Dion Hinchcliffe 對它表示支持,他甚至畫了一幅圖,說明基於 SOAP 和 WS-* 的 Web services,和基於 REST、POX和 JSON 的 WOA,以及其他 SOA 相關科技,在複雜度和豐富程度上的比較。
本以為 “WOA” 的命運,差不多已經和先前廣遭聲討的 “SOA 2.0” 一樣,開始消聲匿跡,但最近在一片大談 REST 聲中(前兩篇帖子的主題),發現 WOA 已死灰復燃。
more »
REST 的最大價值,在於它的簡約;只要遵循上回帖子中提到的幾個基本原則,便可直接充分利用 HTTP 和 Web server 先天具備的架構優勢,包括 GET 的請求會被 Web server 有效地 cache,和因不需要維繫各別的 session 狀態,而達到非常高的延展性。Google 和 Amazon 等所提供的 Web services,是最好的明證。這是 REST 的擁護者津津樂道的論點。
但如果照目前的氣氛繼續發展下去,過分炒作「REST 是比 SOAP 更適合於 SOA 的技術實現手段」、「SOA 未來的希望在 REST」這類危險的觀念(上回談的主題),其最終的結果,可能是既傷害了 REST,又對 SOA 沒好處的雙輸局面。
more »
要如何防範?對網站開發人員而言,在過去,對這個主題的探討,往往比較零散,要不就偏學術,要求較高的門檻(例如 OWASP 發表的文獻),一直缺乏系統化,全面性,且深入淺出的探討。不久前終於出了一本好書 — AJAX Security,作者為 Billy Hoffman 和 Bryan Sullivan 這兩位 Web 2.0 安全的專家(過去在零星的安全相關報道中,也常出現他們兩位的影子)。在此強烈推薦這本書,給所有從事與 Web 2.0 開發相關的網友。儘管書名選擇叫 “AJAX” Security,但事實上,除了 AJAX 之外,Flash 安全,甚至於如何將 CSS 這種看似無害、展現層的東西,拿來攻擊的方法,在書中都有深入探討(第十二章)。儘管這樣的書,早該出現,但出版時間晚,反而也做出一些額外的貢獻 — 比較新的科技,如上述的 Google Gears 和 Dojo 離線工具箱的安全弱點,在書中都涵蓋了。希望它盡快能被翻譯成中文,以造福更多大眾。
