Sicherheit der 4D Mobile Applikation

Werden über 4D Mobile veröffentlichte Daten aus Tabellen einer 4D Anwendung in den Wakanda Catalog übernommen, müssen Sie bestimmte "sensible" Ressourcen vor Zugriff schützen. 

Web Applikationen können im Gegensatz zu 4D Anwendungen nicht das Interface zum Steuern freigegebener Daten verwenden. So sind z.B. auch Felder, die nicht im Formular erscheinen, für Benutzer zugänglich. Über HTTP Anfragen und JavaScript können böswillige Benutzer faktisch jede Informationen von einem ungenügend geschützen Web Server abrufen.

Dieser Abschnitt kann nicht alle Sicherheitsmaßnahmen für 4D Mobile Applikationen auflisten. Er gibt Ihnen aber einige Hinweise, wie Sie sensible Daten in gewisser Weise absichern können.

• 4D Mobile Zugriffe auf die 4D Anwendung schützen: Sie können die 4D Mobile Verbindungsanfragen (via REST) steuern. Dafür verwenden Sie entweder:
  
  • 4D Kennwörter (siehe Abschnitt Automatische Steuerung über 4D Kennwörter),
  • die Datenbankmethode On 4D Mobile Authentication.

• 4D Mobile Veröffentlichung auf 4D Seite steuern: Jede Tabelle, Methode und jedes Attribut lässt sich einzeln über 4D Mobile veröffentlichen. Geben Sie nur die unbedingt notwendigen Daten und Methoden frei. Sie müssen beispielsweise keine Felder veröffentlichen, die nicht verwendet werden.

• Sensible Daten schützen: Über die Sicherheitssysteme von Wakanda können Sie Inhalte steuern, die über Browser zugänglich sind. Es gibt verschiedene Wege, drei davon erläutern wir hier näher:
  
  • Reichweite anpassen: Das gilt für Attribute und Methoden aus der 4D Anwendung in Wakanda auf model Ebene (siehe Eigenschaft scope für Attributes oder für Methods in der Wakanda Dokumentation). Sie können dafür die Option Public on Server festlegen. Dann sind sie für Code, der auf dem Server läuft, frei zugänglich, jedoch nicht auf Web Clients.
    Diese Option können Sie in der zusätzlichen .js Datei festlegen, die über die Methode mergeOutsideCatalog() ausgeführt wird. Weitere Informationen dazu finden Sie auf der Seite Model API im Wakanda Handbuch Server-Side API.
  • Berechnete Attribute verwenden: Berechnete Attribute arbeiten wie Standard Attribute, ihre Werte werden jedoch über spezifische Funktionen (onGet, onSet...) zurückgegeben, die bei Zugreifen auf die Felder ausgeführt werden. Von daher genügt es, wenn nur die berechneten Attribute freigegeben werden und nicht die Felder der 4D Anwendung. Zugriffe auf die 4D Felder erfolgen vom Wakanda Server aus in sicherer Form.
    Sie können berechnete Felder in einer zusätzlichen .js Datei hinzufügen, die über die Methode mergeOutsideCatalog() ausgeführt wird. Weitere Informationen dazu finden Sie auf der Seite Attributes m Wakanda Handbuch Server-Side API.
  • Erweiterte Datastore Klassen und restricting queries kombinieren: Dieses leistungsstarke Konzept unterstützt nicht nur veröffentlichte Attribute, sondern auch die anzeigbaren Daten. Eine Datastore Klasse erweitern heißt, eine Kopie erstellen (die abgeleitete Klasse), die Sie verändern können, also berechnete Attribute hinzufügen oder vorhandene Attribute löschen. Sie können auch eine eingeschränkte Suche zuordnen: In diesem Fall löst jeder Zugriff auf die Daten der abgeleiteten Klasse diese Suche automatisch aus, und gibt nur die Datensätze zurück, die zum Suchkriterium passen. So können Sie die Daten mit dem Benutzer verbinden, der an den Wakanda Server angemeldet ist. Bei einer Business-Lösung gibt die Suche z.B. alle Kunden zurück, die zum aktuellen Vertriebsmitarbeiter gehören. Natürlich ist über Web Clients nur der Zugriff auf die abgeleitete Klasse möglich.
    Sie können erweiterte Datastore Klassen und restricting queries in der .js Konfigurationsdatei des externen Modells anlegen (siehe Externe Datei ändern). Weitere Informationen dazu finden Sie auf der Seite Programming Restricting Queries der Wakanda Dokumentation.

  Hinweis: restricting queries in 4D Mobile werden ab folgenden Versionen unterstützt:
  - 4D und 4D Server v14.1
  - Wakanda Enterprise Server v8