公开(公告)号：DE112010004135T5

公开(公告)日：2012-09-13

申请号：DE112010004135

申请日：2010-12-13

Applicant: IBM

Inventor： ZURKO MARY ELLEN ,  BADE STEVEN ,  MOSS HAROLD

IPC: H04L29/06

Abstract: In den veranschaulichenden Ausführungsformen werden ein Verfahren, ein System und ein auf einem Computer verwendbares Programmprodukt zum Sichern von asynchronen Client-Server-Transaktionen bereitgestellt. Eine Anforderung, die eine Anwendungskennung und eine Version einer zweiten Anwendung enthält, wird an einer ersten Anwendung empfangen. Eine Dir zweiten Anwendung gültig ist. In der ersten Anwendung wird eine Registrierdatenbank erzeugt. Auf der Grundlage der Registrierdatenbank wird ein Katalog erzeugt, und die Dienstkennung und der Katalog werden an die zweite Anwendung gesendet. Als Teil einer asynchronen Client-Server-Transaktion wird eine die Dienstkennung enthaltende Unteranforderung empfangen. Die Gültigkeit der Unteranforderung wird ermittelt, indem ermittelt wird, ob die Dienstkennung abgelaufen ist, ob die Unteranforderung einen Dienst anfordert, der gemäß dem Katalog zulässig ist, ob die Dienstkennung in Verbindung mit der zweiten Anwendung verwendet wird, oder durch eine Kombination daraus. Wenn die Unteranforderung gültig ist, wird der Dienst bereitgestellt.

公开(公告)号：GB2495681A

公开(公告)日：2013-04-17

申请号：GB201302336

申请日：2011-06-30

Applicant: IBM

Inventor： ZURKO MARY ELLEN ,  PIECZUL OLGIERD STANISLAW ,  MCGLOIN MARK

IPC: G06F21/51 ,  H04L29/06 ,  G06F21/56 ,  H04L29/08

Abstract: A technique to provide runtime output sanitization filtering of web application content that contains multiple contexts in which dynamic output is included. To facilitate this operation, dynamically-generated content is prepared for sanitization in advance, preferably by being "marked" by the web application itself (or by middleware used by or associated with the application). Preferably, given dynamically-generated content is marked by enclosing it between dynamic content indicators. Then, after the document generation is completed but before it is output (delivered), the application-generated content is processed by a content sanitization filter. The filter uses the dynamic content identifiers to identify and locate the content that needs output escaping. The filter detects the appropriate context within which the dynamically-generated content has been placed, and it then applies the appropriate escaping. In this manner, the output content is fully prepared for escaping in advance even if it is being assembled from multiple input sources that do not operate in the same runtime environment. In this approach, escaping is added after all other application processing is finished and the complete document is ready for delivery to the requesting end user.

公开(公告)号：DE112010004135B4

公开(公告)日：2019-07-11

申请号：DE112010004135

申请日：2010-12-13

Applicant: IBM

Inventor： BADE STEVEN ,  MOSS HAROLD ,  ZURKO MARY ELLEN

IPC: H04L29/06 ,  G06F15/16 ,  G06F21/10 ,  G06F21/44 ,  G06F21/62 ,  H04L12/16

Abstract: Computerimplementiertes Verfahren zum Sichern von asynchronen Client-Server-Transaktionen, das Folgendes umfasst:Empfangen einer Anforderung an einer ersten in einem Datenverarbeitungssystem ausgeführten Server-Anwendung, welche eine als Server ausgeführte Anwendung ist und Daten und/oder Dienste bereitstellt, wobei die Anforderung eine Anwendungskennung und eine Version, die einer Client-Anwendung, welche eine als Client ausgeführte Anwendung und ein Verbraucher von Daten und/oder Diensten ist, zugehörig sind, enthält;Erzeugen einer Dienstkennung als Reaktion darauf, dass eine Sitzung mit der Client-Anwendung gültig ist;Erzeugen einer Registrierdatenbank an der Server-Anwendung, wobei die Registrierdatenbank Informationen über eine Reihe von Diensten und Daten enthält, welche die Client-Anwendung verwenden darf;Erzeugen eines Katalogs beruhend auf der Registrierdatenbank, wobei der Katalog eine umgewandelte Teilmenge der Registrierdatenbank enthält;Senden der Dienstkennung und des Katalogs an die Client-Anwendung; undEmpfangen einer Unteranforderung, wobei es sich bei der Unteranforderung um einen Teil einer asynchronen Client-Server-Transaktion handelt, wobei die Unteranforderung die Anwendungskennung und die Anwendungsversion, die der Client-Anwendung zugehörig sind, und die Dienstkennung enthält und die Unteranforderung ferner eine Anforderung nach einem Dienst oder Daten aus dem Katalog enthält;Ermitteln einer Gültigkeit der Unteranforderung durch Ermitteln einer Kombination aus (i) ob die Dienstkennung abgelaufen ist, (ii) ob die Unteranforderung einen Dienst anfordert, der gemäß dem Katalog zulässig ist, und (iii) ob die Dienstkennung in Verbindung mit der Client-Anwendung verwendet wird, wobei das Ermitteln, ob die Dienstkennung in Verbindung mit der Client-Anwendung verwendet wird, das Ermitteln, ob die Dienstkennung gemeinsam mit der Anwendungskennung und der Anwendungsversion der Client-Anwendung verwendet wird, umfasst; undBereitstellen des Dienstes als Reaktion auf die Unteranforderung, sofern die Unteranforderung gültig ist.

公开(公告)号：DE112013002539T5

公开(公告)日：2015-02-19

申请号：DE112013002539

申请日：2013-04-24

Applicant: IBM

Inventor： CELI JOSEPH JUN ,  ZURKO MARY ELLEN ,  GAVAGNI BRETT

IPC: H04W12/08

Abstract: Die veranschaulichenden Ausführungsformen stellen ein Verfahren, eine Vorrichtung und ein Computerprogrammprodukt zum Validieren einer mobilen Einheit bereit. Von der mobilen Einheit werden Sprachdaten empfangen. Die Sprachdaten weisen eine Aufzeichnung einer Passphrase auf, die von einem Benutzer an der mobilen Einheit gesprochen wurde. Unter Verwendung der Sprachdaten wird eine Ermittlung darüber vorgenommen, ob es sich bei der mobilen Einheit um eine gültige mobile Einheit handelt. Ein Zugriffscode wird an die mobile Einheit als Reaktion auf eine Feststellung gesendet, dass es sich bei der mobilen Einheit um die gültige mobile Einheit handelt.

公开(公告)号：DE112011101831T5

公开(公告)日：2013-03-28

申请号：DE112011101831

申请日：2011-06-30

Applicant: IBM

Inventor： PIECZUL OLGIERD STANISLAW ,  MCGLOIN MARC ,  ZURKO MARY ELLEN

IPC: H04L29/06 ,  H04L29/08

Abstract: Eine Technik zur Bereitstellung der Filterung zur Laufzeit-Ausgabebereinigung des Inhalts von Webanwendungen, der mehrere Kontexte enthält, in die eine dynamische Ausgabe eingeschlossen ist. Zur Erleichterung dieses Vorgangs wird dynamisch erzeugter Inhalt im Voraus zur Bereinigung aufbereitet, indem er vorzugsweise durch die Webanwendung selbst (oder durch Middleware, die von der Anwendung genutzt wird oder zu dieser gehört) „markiert” wird. Vorzugsweise wird vorgegebener dynamisch erzeugter Inhalt markiert, indem er von Kennzeichen für dynamischen Inhalt umschlossen wird. Anschließend wird der von der Anwendung erzeugte Inhalt durch einen Inhaltsbereinigungsfilter nach Abschluss der Erzeugung des Dokuments, aber vor dessen Ausgabe (Bereitstellung) verarbeitet. Der Filter verwendet die Kennzeichen für dynamischen Inhalt, um den Inhalt zu erkennen und zu lokalisieren, bei dem die Ausgabetransformation notwendig ist. Der Filter erkennt den entsprechenden Kontext, innerhalb dessen der dynamisch erzeugte Inhalt abgelegt wurde, und wendet anschließend die entsprechende Transformation an. Auf diese Weise wird der Ausgabeinhalt im Voraus komplett zur Transformation aufbereitet, selbst wenn er aus mehreren Eingabequellen zusammengesetzt worden ist, die nicht in derselben Laufzeitumgebung arbeiten. Bei diesem Ansatz wird die Transformation hinzugefügt, nachdem die gesamte andere Anwendungsverarbeitung abgeschlossen und das komplette Dokument bereit zur Ausgabe an den anfordernden Endbenutzer ist.

公开(公告)号：DE112011101831B4

公开(公告)日：2020-10-08

申请号：DE112011101831

申请日：2011-06-30

Applicant: IBM

Inventor： ZURKO MARY ELLEN ,  PIECZUL OLGIERD STANISLAW ,  MCGLOIN MARK

IPC: G06F21/64 ,  H04L29/08

Abstract: Verfahren zum Schützen vor einer websiteübergreifenden Scripting-Attacke, aufweisend:als Reaktion auf die Anforderung einer Webanwendung das Erzeugen eines kompletten Markup-Language-Dokuments, das statischen Inhalt und mindestens eine erste und eine zweite dynamisch erzeugte Ausgabe aufweist, von denen jede einem separaten Kontext zugeordnet ist, der jeweils eine andere Bereinigung unter Verwendung eines separaten Transformationsverfahrens erfordert, und deren Inhalt aus mehreren Eingabequellen zusammengesetzt worden ist, die nicht in derselben Laufzeitumgebung arbeiten;Markieren jeder der dynamischen Ausgaben im kompletten Markup-Language-Dokument mittels einer Markierungsfunktion;vor dem Ausgeben des kompletten Markup-Language-Dokuments als Reaktion auf die Anforderung der Webanwendung das Bereinigen jeder der markierten dynamischen Ausgaben durch einen Bereinigungsfilter mittels einer Bereinigungsfunktion, wobei zu jeder der markierten dynamischen Ausgaben eine kontextspezifische Transformation hinzugefügt wird; undAusgeben des kompletten Markup-Language-Dokuments,wobei der Markierungsschritt einer bestimmten dynamischen Ausgabe ein oder mehrere Kennzeichen zuordnet, wobei ein Kennzeichen eine Datenzeichenfolge mit einem bestimmten Wert ist, der eine Funktion der dynamischen Ausgabe ist, wobei die Funktion eine digitale Signatur der dynamischen Ausgabe ist und wobei der Bereinigungsfilter die Signatur in Verbindung mit der Bereinigungsfunktion unter Verwendung eines Schemas mit digitaler Signatur und öffentlichem Schlüssel überprüft, wobei die Markierungsfunktion für dynamischen Inhalt zur Erzeugung der Markierungen einen privaten Schlüssel verwendet und der Bereinigungsfilter die Markierungen unter Verwendung eines zugehörigen öffentlichen Schlüssels überprüft, wobei der öffentliche Schlüssel von einem zentral angeordneten Datenspeicher empfangen wird.

公开(公告)号：DE112013002539B4

公开(公告)日：2018-01-04

申请号：DE112013002539

申请日：2013-04-24

Applicant: IBM

Inventor： CELI JOSEPH JUN ,  ZURKO MARY ELLEN ,  GAVAGNI BRETT

IPC: H04L9/32 ,  G10L17/24 ,  G10L21/00 ,  H04W12/08

Abstract: Verfahren zum Validieren einer mobilen Einheit, wobei das Verfahren aufweist: Empfangen einer Adresse der mobilen Einheit, einer Benutzerkennung und eines Kennwortes, Empfangen von Sprachdaten von der mobilen Einheit, wobei die Sprachdaten eine Aufzeichnung einer Passphrase aufweisen, die von einem Benutzer an der mobilen Einheit gesprochen wurde; Ermitteln unter Verwendung der Sprachdaten, ob die mobile Einheit eine gültige mobile Einheit ist; und Senden eines Zugriffscodes an die mobile Einheit als Reaktion auf eine Feststellung, dass die mobile Einheit die gültige mobile Einheit ist, wobei das Ermitteln unter Verwendung der Sprachdaten, ob die mobile Einheit die gültige mobile Einheit ist, aufweist: Ermitteln unter Verwendung der Adresse der mobilen Einheit, ob die Adresse für die die mobile Einheit innenhalb eines Adressbereichs liegt; als Reaktion auf das Ermitteln unter Verwendung der Adresse der mobilen Einheit, dass die Adresse für die mobile Einheit innenhalb des Adressbereichs liegt, Ermitteln unter Verwendung der Sprachdaten, der Benutzerkennung und des Kennwortes, ob die mobile Einheit die gültige mobile Einheit ist.

公开(公告)号：GB2507213A

公开(公告)日：2014-04-23

申请号：GB201400642

申请日：2012-07-09

Applicant: IBM

Inventor： PIECZUL OLGIERD STANISLAW ,  MCGLOIN MARK ALEXANDER ,  ZURKO MARY ELLEN

IPC: G06F21/41 ,  H04L9/32

Abstract: A user authenticates to a Web- or cloud-based application from a browser-based client. The browser-based client has an associated rich client. After a session is initiated from the browser-based client (and a credential obtained), the user can discover that the rich client is available and cause it to obtain the credential (or a new one) for use in authenticating the user to the application (using the rich client) automatically, i.e., without additional user input. An application interface provides the user with a display by which the user can configure the rich client authentication operation, such as specifying whether the rich client should be authenticated automatically if it detected as running, whether and what extent access to the application by the rich client is to be restricted, if and when access to the application by the rich client is to be revoked, and the like.

公开(公告)号：DE112012002889T5

公开(公告)日：2014-03-27

申请号：DE112012002889

申请日：2012-07-09

Applicant: IBM

Inventor： MCGLOIN MARK ALEXANDER ,  PIECZUL OLGIERD STANISLAW ,  ZURKO MARY ELLEN

IPC: H04L9/32 ,  H04L12/16

Abstract: Ein Benutzer authentifiziert sich bei einer Anwendung auf der Grundlage des Webs oder einer Cloud von einem auf einem Browser beruhenden Client aus. Der auf einem Browser beruhende Client weist einen zugehörigen Rich-Client auf. Nachdem eine Sitzung von dem auf einem Browser beruhenden Client aus ausgelöst (und ein Berechtigungsnachweis empfangen) wurde, kann der Benutzer erkennen, dass der Rich-Client verfügbar ist, und ihn veranlassen, den Berechtigungsnachweis (oder einen neuen) zur Verwendung beim Authentifizieren des Benutzers bei der Anwendung automatisch zu empfangen (unter Verwendung des Rich-Clients) d. h. ohne zusätzliche Benutzereingabe. Eine Anwendungsschnittstelle stellt dem Benutzer eine Anzeige bereit, mit deren Hilfe der Benutzer den Authentifizierungsvorgang des Rich-Clients konfigurieren kann, zum Beispiel durch Angeben, ob der Rich-Client automatisch authentifiziert werden sollte, wenn er als gerade ausgeführt erkannt wird, ob und in welchem Umfang der Zugriff auf die Anwendung durch den Rich-Client einzuschränken ist, ob und wann der Zugriff auf die Anwendung durch den Rich-Client widerrufen werden soll, und dergleichen.