Adobe Air (wiwobooks.com Release)
Abschnitt 2.2.9 beleuchten.
AIR erlaubt einen abgestuften Zugriff auf das Dateisystem, der auf dem Prinzip der Sicherheits-Sandboxen beruht (die wörtliche Übersetzung des englischen Begriffs security sandbox, Sicherheitssandkasten, ist nicht gebräuchlich). Dabei kann eine AIR-Anwendung grundsätzlich auf jede Datei sowohl lesend als auch schreibend zugreifen, auf die der aktuell angemeldete Benutzer in gleicher Weise zugreifen kann – eine AIR-Anwendung kann sich selbstverständlich nicht über administrative Einstellungen hinwegsetzen.
Anwendungs-Sandbox
AIR definiert eine sogenannte Anwendungs-Sandbox bzw. application sandbox. Die AIR-Anwendungs-Sandbox entspricht dem Verzeichnis, in das die AIR-Anwendung installiert wurde, mitsamt seinen Unterverzeichnissen. AIR interpretiert alle Dateien innerhalb des Installationsverzeichnisses als zu der Anwendung gehörig, unabhängig davon, ob diese im Zuge der Installation dort hingekommen sind, bereits vorhanden waren oder erst noch zu einem späteren Zeitpunkt hinzugefügt werden. Alle in der Anwendungs-Sandbox befindlichen Dateien genießen besondere Privilegien, nur sie können auf den kompletten Funktionsumfang der AIR-Laufzeitumgebung zugreifen. Außerhalb der Anwendungs-Sandbox kann auf Ressourcen zwar lesend und schreibend zugegriffen werden, und das schließt den Zugriff auf Netzwerkressourcen mit ein, aber es sind für diese Dateien nicht alle Funktionen von AIR nutzbar.
Lokale Anwendungsspeicher-Sandbox
AIR begünstigt das Abspeichern von Dateien innerhalb einer AIR-Anwendung in einem separaten, application storage sandbox genannten Bereich. Dieser befindet sich im Benutzerverzeichnis in einem eigenen für das Programm vorgesehenen Verzeichnis. Wenngleich eine AIR-Anwendung prinzipiell überall im Dateisystem seine Spuren hinterlassen kann, gehört es zur guten Praxis des Entwickelns, die zu einem Programm gehörenden oder von diesem erstellten Dateien beisammenzuhalten.
2.2.7 Lokale verschlüsselte Daten
Für den Fall, dass eine Anwendung sensible Daten (z. B. Zugangskennungen und Kennwörter oder vertrauliche Geschäftsdaten) dauerhaft abspeichern muss, besteht für AIR-Anwendungen zusätzlich die Möglichkeit, Daten verschlüsselt abzulegen. Diese Informationen sind anwendungsspezifisch, das heißt, sie können nur von der jeweiligen Anwendung gelesen oder verändert werden. Zur Verschlüsselung verwendet AIR einen 128 Bit starken AES-CBC-Algorithmus. War bis AIR 1.1 die Verschlüsselung noch auf lokale Dateien beschränkt, so können seit AIR 1.5 auch lokale SQLite-Datenbanken verschlüsselt werden. Wir werden dies im Praxisteil noch genauer beleuchten.
2.2.8 Signieren von AIR-Anwendungen
Ein wesentlicher von Adobe vorgesehener Sicherheitsaspekt für AIR-Anwendungen ist die Sicherstellung des Urhebers. Um eine AIR-Anwendung zu einem Installationspaket zu schnüren, benötigen Sie ein Code-Signing-Zertifikat. Code-Signing-Zertifikate können entweder bei einer anerkannten Zertifikatsstelle (Certificate Authority, CA) erworben oder selbst erstellt werden. Wenn Sie sich jetzt die Frage stellen, was ein Zertifikat nützt, wenn man es selbst erstellt, denken Sie an einen von zwei Aspekten, die dabei eine Rolle spielen. Wenn ein CodeSigning-Zertifikat bei einer Zertifikatsstelle erworben wird, überprüft diese, ob Sie tatsächlich die Person oder Firma sind, für die Sie sich ausgeben. In der Regel werden bei Firmen dafür Firmenregister herangezogen, bei Einzelpersonen kann nach einem Identitätsnachweis verlangt werden. Während zu Zeiten von AIR 1.0 noch lediglich Thawte ein eigenes AIR-Code-Signing-Zertifikat anbot und darüber hinaus noch andere Zertifikate von Thawte und Verisign erkannt wurden, hat sich das Angebot an Code-Signing-Zertifikaten für AIR mittlerweile beträchtlich erweitert und umfasst derzeit zusätzlich Zertifikate von ChosenSecurity und GlobalSign (siehe folgenden Kasten).
Anerkannte Code-Signing-Zertifikate für AIR-Anwendungen
Thawte ( http://www.thawte.com):
Adobe AIR Developer Certificate
Apple Developer Certificate
JavaSoft Developer Certificate
Microsoft Authenticode Certificate
Verisign ( http://www.verisign.com ):
Adobe AIR Digital ID
Microsoft Authenticode Digital ID
Sun Java Signing Digital ID
ChosenSecurity ( http://www.chosensecurity.com ):
TC Publisher ID for Adobe AIR
GlobalSign ( http://www.globalsign.com ):
Object Sign Code Signing Certificate
Wenn Sie eine AIR-Anwendung mit einem CA-anerkannten Zertifikat
Weitere Kostenlose Bücher