Security and REST Web Services


Richard Mooney
(Vordel)

This session answers two questions: Are REST Web Services inherently insecure? How can a  security model apply to both SOAP and REST Web Services?


REST방식은 제가 제일 선호하는 Open API 아키텍쳐 패턴입니다. 간편하고 Simple하고 따로 배울 필요가 없으며 비용 대비 효과가 크기 때문입니다. 실제 씽크프리의 Open API 거의 REST 패턴을 따르고 있고 앞으로도 그럴 예정입니다.


Vordel 아키텍쳐인 Richard Mooney 이러한 REST SOAP 비교하고 보안에 대해 세션에서 정리를 했습니다. 그냥 편안히 듣고 고개만 끄덕이고 말았네요^-^ 당연한 거니까…


실제 REST 방식에서 GET 너무 heavy하게 사용하거나 서버의 상태를 변하게 하는 경우가 있다고 합니다. 그런데 사실 이런 경우는 설계가 잘못된것지 기술적인 문제는 아닙니다. REST 설계 방법에 대해서는 제가 정리한 글을 참조하세요.


하여간  결론 HTTP Query String 믿지 말라는 것입니다!! 동감입니다. 뭐가 실려올지 어떻게 신뢰할지요! 따라서 기존의 표준 방법을 REST 적용해서 이를 신뢰하게 만들어야 합니다.


사용자 삽입 이미지


여러 REST상의 보안 방안들


1)URL ACL 걸어 권한을 체크한다.

2)SQL injection 처럼 URL QueryString 문제 소지가 있기 때문에 이를 필터링하여 체크한다.

3)URL 로깅한다. 아시겠지만 SSL 걸면 자동으로 URL 대한 로깅이 됩니다. 

4)아마존 등에서 사용하는 방법으로 Developer Token(Secret Access Key ID) 사용하여 인증을 한다.


그런데 국내 포탈들의 Open API 어떻게 개발되었나요? 크게 관심이 없어 기회가 없었네요..누가 알려주세요..


Posted by 박재현
,

You are here: Creating location based services

Paul Hammond (Yahoo!)


Many of the most interesting uses of the ubiquitous web rely on knowing where someone or something is. How can we find this information and what can we do with it?


개인적으로 네이트의 네이게이션을 서비스를 가입해서 사용하고 있습니다. 날씨가 흐려 간혹 접속하는 시간이 걸린다는 빼고는 이제 상당히 익숙해졌습니다. 그런데 문제는 너무 의존적이 되어서 아는 길을 때도 GPS 켜져 있어야 맘이 편한 상태가 되었습니다. 이처럼 지리 정보를 활용한 분야와 시장은 상당한 규모를 갖고 있습니다.  주요 인터넷 서비스중에서도 구글 맵과 야후 , MS 맵이 가장 많이 이용되는 서비스 하나 입니다.


이번
Xtech에서 야후의 Paul Hammond 이란 아주 작은 체구의 엔지니어가 지리 정보와 서비스의 현황에 대한 발표를 했습니다. 발표의 결론부터 정리해 보면,


  • 현재 GPS 정확하지 않으며 대안도 마땅치 않다.
  • 위도,경도는 자체로 유용하지 않다.
  • Locations lookup data is not correct.
  • You can’t solve these problems one country at a time.
  • 이웃보다 정교해 없다.
  • 90% 고객은 GPS 없고 data plan(어떻게 사용할 것인가?) 없다.

결론적으로 완성된 서비스를 이용하려면 년은 기다려야 한다는 것이 Paul Hammond 견해였습니다. 또한 현재에는 실시간 정보 업데이트에 의존하지 말고 현재 수준의 기술에 의존하기 보다는 사용자에게 지리 정보를 묻고 이를 기반으로 하는 것이 현재 유용하다는 사실과 위도/경도 이상의 것을 고려할 있는 표준이 필요하다 라는 것이 세션의 주요 내용이었습니다.


사실 국내에서도 티스토리 등에서 사용자에게 지역 태그를 입력하는 공간을 제공하죠. 사용자 입장에서 편리하게 한다면 파일 업로드시 위치를 추정(IP  , 언어 등으로)해서 이를 지역태그로 추정해서 태그를 추천하여 등록하는 방법은 어떨까 싶습니다. ThinkFree Docs에서 시도해 봐야 겠네요..


현재 여러 응용 이미지, 동영상 Geometa 데이터를 통한 여러 시도가 있고 다양한 효과가 있으리라 생각합니다. 가령, zonetag.research.yahoo.com에서는 사진을 찍으면 GPS 통해 위치를 인지하고 자동으로 이미지에 zonetag 부여하여 등록합니다. 이렇게 하는 것에 배경에는 핸드폰과 GPS 사용하여 실시간에 object 대한 트랙킹이 가능하다는 데서 출발하는 것이죠. 물론 GPS 정확하지는 않지만 추정은 가능하겠죠..

사용자 삽입 이미지

네트웍이 안돼서 답답했는데 발표자 하나를 꼬셔서 발표자에게만 제공되는 액세스 코드를 입수했습니다. 이제 좀 살 꺼같네요.. 네트웍 없으면 답답하고 , 간혹 술도 못마시면 우울하고, 블러거에 글 못써도 우울하고.. 현대인은 너무 중독되어 가는 것 같습니다.




Posted by 박재현
,

 

Physical hyperlinks

Timo Arnall (Oslo School of Architecture & Design) , www.nearfield.org


사용자 삽입 이미지
메트릭스에서 전화는 서로 다른 개의 공간을 연결해주는 것이었습니다. 현재 우리가 살고 있는 실제 물리적 공간과 디지털 공간을 이어주는 것들이 무엇일까요? 바로 이것을 physical hyperlink라고 부릅니다. 세션에서는 이러한 physical hyperlink 대한 발표를 오슬로 대학의 Timo Arnall 발표했습니다. 오슬로면 노르웨이에 있습니다. 파리에서 2시간 정도 걸리다네요.. 윽..한국에선 12시간인데..


개인적으로도 physical hyperlink 대해 관심이 많았습니다. 특히, 유비쿼터스 환경에서는 더욱 그러합니다.  실제 국내에서도 많은 physical hyperlink 존재합니다. -  어디서나 결제 가능한 모네타 카드, 센서에 대기만 해도 계산이 되는 교통카드,  어디서나 명함 교환과 파일 송수신이 간으한 블루투스 핸드폰, 바코드 리더 , 바코드로 무선 할인쿠폰 모든 것이 실제 우리 주변에 있는 physical hyperlink 입니다.


그렇다면 physical hyperlink 의미하는 것이 무엇일까요? 웹을 물리적인 공간으로 연결해 주는 하이퍼링크가 되는 입니다. 세션 발표에 재미난 예제 중에 하나는 디지탈 광고판인데 브루투스로 주변에 지나가는 핸드폰에 디자탈 광고를 push 주는 입니다. 또한 해당 광고를 누르면 바로 모바일에서 웹에 접속하게 됩니다. 과정이 바로 광고와 광고를 보는 사람을 연결하는 과정이라고 이해할 있습니다.


현재 이러한 것을 가능하게 하는 기술로는 bluetooth ,  SMS , Barcode(2Kbyte), RFID(4Kbyte) 등을 있습니다. 특히, RFID 생산 가격이 낮아 지면서 기존의 Barcode 비해 보다 활용도가 높지 않나 싶습니다. 개인적으로는 홀로그램도 좋은 기술이라고 생각합니다. 실제 세션 발표중 일본의 예가 많이 소개되었습니다. 중에서 가장 눈에 띠는 것은 건물 벽면에 바코드를 붙여놓았는데 실제 핸드폰으로 이를 읽으면 건물에 대한 정보를 Web 통해 조회할 있게 됩니다.


현재 physical hyperlink 관련된 프로젝트로는 Annotate space, HP cooltown  , thinglink.org , manifest.org 있습니다. 가령, 현재 노키아폰의 내부에는 RFID 리더가 있고 관련된 RFID 읽으면 바로 해당 URL 인지한 바로 이동하게 됩니다.  현재 노카아와 HP에서 많은 투자를 하고 있고 실제 적은 규모지만 실세계에 적용하고 있고 점차 확산시킬 것으로 보입니다.


일본은 이러한 분야의 기술에 가장 앞서 있는 것으로 알고 있고 국내는 모르겠습니다. RFID 미들웨어의 개발 소식은 들었는데 원천 기술과 응용 기술 모두 크게 들리는 소식이 없는 같습니다. , 블러그를 읽는 삼성전자과 관련된 분들 있으면 좀 알려주세요…


이전에도 그렇고 앞으로도 physical hyperlink 중심으로 응용이 앞으로의 블루오션 하나가 것이라고 생각합니다. 세션의 결론은 physical hyperlink 인해 발생하는 interaction 이를 통한 Experience  그리고 새롭게 생성되는 context 유비쿼터스라는 것이라고 요약할 있을 같습니다.


실제 오프라인에 존재하는 문서 자체에 어떤 의미가 있을까요? 문서 작성자(people), -오프라인(place),  -오프라인의 문서(thing) , 그리고 이들을 연결하는 URL. 이러한 것이 오피스의 라이프사이클이 같습니다.


Posted by 박재현
,

W3C Ubiquitous Web Applications Activity - Dave Raggett (W3C/Volantis)


The W3C Ubiquitous Web Applications activity aims to make it easier to create distributed Web applications involving a wide diversity of devices.


도착한 날부터 계속해서 비가 내려 기온이 많이 내려갔습니다. 따뜻한 옷을 준비하지 못해 손을 부비며 아침부터 세션에 참가해야 했습니다. 오늘 하루종일 유비쿼터스 웹에 대해 듣고 정리하려는 욕심에 열심히 행사장으로 향했습니다. 가자마자 놀란 사실은 …


-아뿔싸! 무선 인터넷이 잡히는 제공되는 것이 아니다… 강사만 사용하네요..이런….

-전시회가 없어 조용하리라 예상은 했었으나 너무 조용한 분위기여서.. 덕분에 확실히 집중해서 세션은 열심히 참석했으니…


첫번째 참석한 세션은 현재 W3C에서 2007 3 30 새롭게 런칭한 W3C New Ubiquitous Web Application Working Group(이전의 Device independence WG 계승한 것임) 리드하고 있는 Dave Raggett W3C Ubiquitous Web Applications Activity 주제로 현재 W3C내의 UWA 활동과 연구 방향 등에 대한 소개가 있었습니다. 


사용자 삽입 이미지
발표를 맡은 Dave Raggett 다른 발표자료를 통해 이름은 알고 있었지만 처음 보는 분인데 첫인상이  다소 내성적으로 보이고 왠지 수줍움을 같아 보였습니다. 술먹으면 어떨지? 나중에 보니 ETRI 한국 W3C UWA 활동을 활발히 해서 한국에 방문을 했었다고 합니다.

ETRI 전종홍씨, 드시면 변신하지 않나요?^-^


주요한 발표 내용을 요약해 보면, 현재 모든 것들은 네트웍과 RFID등으로 연결되고 있다. 이렇게 연결되는 과정에서 서로 다른 기술들이 존재하는 이를 홈게이트웨이가 연결할 있는 브리지 역할을 해야 한다. 이를 위해서는 표준이 필요하며 로컬과 리모트간의 서비스를 주고 받기 위해 서비스가 필요하며 이러한 서비스를 구현하기 위한 환경으로 XML,온토로지,이벤트 모델, 자바스크립트를 사용하고 독립된 다바이스에는 에이전트(웹서버) 두고  서로 다른 디바이스간에 서비스를 주고 받을 있게 한다 라는 것이었습니다.  이런 방식을 통해 가령, 핸드폰(로컬)에서 사진(리모트) 찍게 요청하고 찍은 사진(로컬) 출력 요청(리모트)하는 방식으로 서비스의 시나리오를 만들 있게 되는 됩니다.


이러한 작업을 위해서는 당연히 표준이 필요합니다. 여기에는 보안 문제를 비롯하여 디바이스에서 제공하는 서비스 장치에 대한 설명과 접근 방법(DOM 모델과 같은 방식을 채택할 것이라고 하네요) 그리고 디바이스간에 스펙을 이해하기 위한 semantic web 기술 등이 필요해 집니다.


추상적인 아키텍쳐 이해해보면 모든 다바이스에 서버를 탑재하고 Ajax등의 비동기 모델을 통해 서비스를 주고 받고 서비스 명세는 RDF 정의하되 접근은 DOM방식으로 하며 , 명세를 이해하기 위해 semantic web 주요 기술을 사용한다라는 입니다.


기술적인 부분은 추후 정리하기로 하고 간략히 느낌 부분은 현재 이러한 유비쿼터스 웹의 구현에 있어 최근에 발표한 JavaFX 추후 상당한 영향력을 갖을 것이라는 예측과 사회의 수평적인 구조에서 유비쿼터스 서비스가 나오지는 않겠지만 수직적인 시장에서 계속해서 서비스가 나올 것이기 때문에 이에 대한 준비가 필요하다라는 입니다. 특히, 국내의 경우 삼성전자같이 디바이스 생산업체의 경우 더더욱 이러한 부분에 대한 준비와 표준에의 참여가 절실해 보입니다.


오피스에서 유비쿼터스 오피스로? 과연 용어의 차이가 무엇일까요? 스스로의 숙제인 같습니다 ^-^  다음은 흥미만점 Physical hyperlinks 대해 정리해 보겠습니다. 이제 눈좀 붙여야 같습니다.


Posted by 박재현
,