Sichere templategestützte Verarbeitung von XML-Dokumenten

Fakultät Informatik, Institut für Software- und Multimediatechnik, Lehrstuhl Softwaretechnologie

Sichere templategestützte
Verarbeitung von XML-Dokumenten

Falk Hartmann

Verteidigung der Dissertation

Dresden, 1. Juli 2011

Motivierendes Beispiel

Fehler
 Nicht-wohlgeformtes XML
 Verletzung einfacher Typen
 Strukturell falsches XHTML

Sichere templategestützte Verarbeitung von XML-Dokumenten Folie 2

Begrifflichkeiten


Agenda

▪ Motivierendes Beispiel und Begrifflichkeiten

Sichere Template-Verarbeitung

Entwurf einer generischen Slot Markup-Sprache

Unterstützung der sicheren Template-Erstellung

Flexible, effiziente und sichere Template-Ausprägung

Validierung

▪ Beiträge der Arbeit und Fazit


Agenda






Validierung



Ziele

Sichere Erstellung
Rückmeldung an den Autor über die Richtigkeit des
Ausprägungsergebnisses in Bezug auf die Zielsprache
Sichere template-
gestützte Verarbeitung
Sichere Ausprägung
Klare und ausreichende Rückmeldung von bei der
Ausprägung auftretenden Problemen

Trennung der Belange
Möglichkeit arbeitsteiliger Entwicklung

Breite Anwendbarkeit
Vermeidung von Einschränkungen in Bezug auf Ziel- und Anfragesprachen
sowie Anwendungsgebiete

Nutzung existierender Standards
Wiederverwendung bestehender Sprachen, Werkzeuge und Prozesse


Anforderungen

Erhaltung der Einschränkungen der Zielsprache
Übernehmen von Verboten der Zielsprache in die Templatesprache

Abdeckung der Zielsprache
Ermöglichen der Erzeugung aller Sätze der Zielsprache

Ableitbarkeit
Automatisches Ableiten der Grammatik der Templatesprache aus der
Grammatik der Zielsprache

Steueranweisungen
Erlauben bedingter und wiederholter Ausprägung von Teilen der Templates

Typsicherheit der Ausprägungsdaten
Erzwingen oder Überprüfen der korrekten Typen der Ausprägungsdaten

Unabhängigkeit von der Anfragesprache
Vermeiden von Annahmen über die Anfragesprache


Ziele → Anforderungen

Beispiel:
Trennung der Belange → Steueranweisungen:
Fehlende Steueranweisungen resultieren i.d.R. in mangelnder Trennung
der Belange


Lösungsarchitektur


Anforderungen → Lösungsarchitektur

Beispiel:
Unabhängigkeit von der Anfragesprache → Bestimmung der
Ausprägungsdaten:
Spezielle Lösungsarchitekturkomponente zur Bestimmung der
Ausprägungsdaten erleichtert Anpassung an Anfragesprachen


Agenda






Validierung




XTL – XML Template Language
Universell, syntax- und semantik-erhaltend
Adressiert Fehlertyp 

Sprachumfang
• Erzeugung von Attributwerten, Text (xtl:attribute, xtl:text)
• Bedingte und wiederholte Ausführung (xtl:if, xtl:for-each)
• Makros
• Einbettung kompletter XML-Fragmente
• Unterstützung für multiple Ausprägungsdatenquellen
• Unterstützung für mehrschrittige Ausprägung

Syntax
• XML Schema

Semantik
• Denotationell formuliert in Haskell
• Zusätzlich translationale und operationelle Beschreibung


Agenda






Validierung



Grundidee der sicheren Erstellung

Adressiert Fehlertypen  und 


Aufteilung der Einschränkungen

XML Schema ist nicht ausdrucksstark genug zur
Beschreibung der Templatesprache → CXSD!



Zielsprachengrammatik

Erforderliche oder optionale Attribute

Templatesprachengrammatik Einschränkung der Ausprägungsdaten

• Umwandlung in optionale Attribute • Typüberprüfung entsprechend Typ des
• Erlauben von xtl:attribute im Attributes
Inhaltsmodell des Elternknotens
• Einschränkung der erzeugbaren Attribute
(Namen)




Simple Content (durch “einfache” Inhaltstypen eingeschränkter Elementinhalt)


• Umwandeln in Mixed Content • Typüberprüfung entsprechend
• Erlauben von xtl:text im Inhaltstyp
Inhaltsmodell
• Einschränkung des Textinhalts
entsprechend Inhaltstyp




Elemente mit Kardinalität {0,1} oder {n,m}


• Ersetzen durch Alternative zwischen • Überprüfung der Anzahl der
Ursprungselement und xtl:if oder Wiederholungen
xtl:for-each
• Einschränkung des Inhalts von xtl:if
bzw. xtl:for-each auf
Ursprungselement


Agenda






Validierung



Eigenschaften der Template-Ausprägung

Flexibel
• Plug in-Mechanismus für Anfragesprachen
• Implementierungen für XPath, SPARQL, OCL

Effizient
• Implementierung mit StAX (JSR-173)
• Speicherbedarf wächst linear mit Anzahl der Knoten in größter zu
wiederholender Einheit im Template
• Zeit wächst linear mit Größe des Ausprägungsergebnisses

Sicher
• Ausprägungsdaten werden auf Typ und Multiplizität geprüft
• Alternativer Ansatz: Generierung einer Template-Schnittstelle


Generierung einer Template-Schnittstelle

Grundidee
• Nutzung der Ausdrücke der Anfragesprache zur Erzeugung eines Modells
der Ausprägungsdaten
• Gewährleistung der Richtigkeit der Ausprägungsdaten durch Transfer der
Datentypen aus dem XML- in das Java-Typsystem
• Analog zur XML binding-Technologien (z.B. JAXB), aber neu für
Templates

Konsequenzen
• Einschränkung der Abfragesprache XPath auf umkehrbare Ausdrücke
• Beispiel:
XPath-Ausdruck //a -> nicht anwendbar auf Java-Objekt-Modell
• Umkehrung der Datenbezugsrichtung
push statt pull-Strategie


Agenda






Validierung



Validierungsmittel

Implementierung eines Prototyps
Aufteilung der Einschränkungen, Template-Validierung und -Ausprägung,
Template Schnittstellen-Generierung

Testsuite
entsprechend Implementierung
Übereinstimmung Template-Ausprägung mit denotationeller und
translationaler Semantik

Anwendung der Implementierung
Einsatz in den Projekten SNOW, FeasiPLe und EMODE

Beweis der Erhaltung der Einschränkungen der Zielsprache
Induktionsbeweis ausgehend von Algorithmus zur Aufteilung der
Einschränkungen

Performance-Messungen
Laufzeit der Template-Validierung, Laufzeit und Speicherbedarf der Template-
Ausprägung, Vergleichsmessung mit JSP und XSL-T


Validierungsmittel → Ziele

Beispiel:
Performance-Messungen → Breite Anwendbarkeit:
Ist der Einsatz des Ansatzes praktisch vertretbar?


Testsuite

Überprüfung der Implementierung
im Hinblick auf die Ziele Sichere Erstellung und Sichere Ausprägung

• Vergleich der Ergebnisse der verschiedenen Komponenten mit hinterlegten,
geprüften Ergebnissen
• Prüfung der Aufteilung der Einschränkungen, Validierung, Ausprägung,
Generierung von Template-Schnittstellen und Round-Trip-Test


Beweis der Erhaltung der Einschränkungen

Voraussetzung
Template, welches der Template-Grammatik genügt
Ausprägungsdaten, welche den entsprechenden Einschränkungen genügen
Behauptung
Ausprägungsergebnis genügt der Zielsprachengrammatik


Performance-Messungen

Laufzeit der Templatevalidierung
Basis: Template mit 2n Kindknoten mit erforderlichem Attribut,
• n Attribute direkt spezifiziert
• n-1 Attribute mittels xtl:attribute erzeugt
• 1 Attribute fehlt und wird nicht erzeugt

(Messung auf Intel 2 Duo 2.8 GHz, 4 MB RAM, MacOS 10.6.7, JDK 1.6.0_24)


Agenda






Validierung



Beiträge

Weitere Beiträge
• Definition des Begriffes Template
• Klassifikation existierender Template-Ansätze

Entwurf einer universellen Slot Markup-Sprache
• Syntax- und semantik-erhaltend
• Unabhängig von konkreter XML-Zielsprache
• Unabhängig von Anfragesprache
• Denotationell definierte Semantik

Sichere Erstellung und Ausprägung
• Überprüfung der Ausprägungsergebnisse soweit als möglich zur
Erstellungszeit
• Direkte Überprüfung der Ausprägungsdaten zur Ausprägungszeit
• Alternative: Generierung einer Template-Schnittstelle


Fazit

Sichere Erstellung und Ausprägung sind
mit dem gezeigten Ansatz möglich!
- Trennung der Belange, Breite Anwendbarkeit gegeben
- Nutzung existierender Standards eingeschränkt erreicht

- Fehlerklasse  adressiert durch Sprachentwurf der XTL
- Fehlerklassen  und  adressiert durch Aufteilung der Einschränkungen


Vielen Dank für Ihre
Aufmerksamkeit!


Verwandte Arbeiten

Templates: Mittel zur Erzeugung konkreter Syntax
- Modell-zu-Text Transformationen
- Anwendungsgebiete: Webapplikationen, Codegenerierung
- Einfache Nutzung existierender Fragmente der konkreten Syntax

Verwandte Ansätze
- Aspekt-orientierte Programmierung (XUpdate)
- Sicherheit ist Forschungsthema

- Transformationstechniken (XSL-T)
- Erhalten die Syntax der Zielsprache nicht
- Hoher Lernaufwand

- Binding-Techniken (JAXB)
- Sicher per Definition
- Fragmente konkreter Syntax müssen in anderen technologischen
Raum übersetzt werden
- Verletzung der Trennung der Belange


Verwandte Arbeiten (Vergleich)

Quelle 1 + Quelle 2
JSP

XML Java any XML
Ziel
XUpdate

XML XML
XUpdate XML
(core) (advice)
XSL-T

XSL-T + XML XPath XML’ XML
JAXB

Java Java any XML


Definition Template-Begriff


Klassifikation Template-Ansätze (1)

1. Target Language Awareness of Slot Markup
- Syntax preserving
- Semantic preserving (TAL)
- Semantic abusing (XMLC)
- Syntax destructing (Perl)
2. Generality of Slot Markup
- Specific for a particular target language
- Generic
3. Entanglement Index [Parr, 2006]
- No modification of the model
- No computations
- No comparisons
- No type assumptions
- Separation of concerns
4. Instantiation Data Access Strategy
- Push
- Pull


Klassifikation Template-Ansätze (2)

5. Query Language
- Opaque vs. significant
- Declarative vs. imperative
- Domain specific vs. general purpose
6. Instantiatian Technique
- Compiler
- Interpreter
7. Reuse
- Macros
- Group inheritance
8. Further Features
- Group interfaces
- Newline handling


XTL - Beispiel


Anwendung der Implementierung

SNOW
- Benutzung der XTL als einfache Sprache für Dokumentationsautoren bei
EADS
- Zwei Hauptkomponenten basierend auf der XTLEngine (Datenschicht,
Controller)
- EADS Ingenieure schätzen Einfachheit der XTL

EMODE
- Komplexe Transformationen auf Basis der XTLEngine
- Nutzung der XTL zur Erzeugung von MXML (Flex) Applikationen

FeasiPLe
- Codegenerierung aus Ontologien mittels SPARQL-Abfragen
- Emulation der transitiven Hülle innerhalb eines PHP → Erweiterung von
SPARQL um die Fähigkeit zur Hüllenbildung


SNOW-Architektur


Zeitbedarf Validierung


Zeitbedarf Ausprägung


Vergleich Zeitbedarf Ausprägung


Speicherbedarf (1)


Speicherbedarf (2)


Fallunterscheidung Sichere Erstellung


Klassifikation von Schemasprachen

1. Regular Tree Grammars (Relax NG)
2. Restrained-Competition Tree Grammars
3. Single-Type Tree Grammars (XML Schema)
4. Local Tree Grammars (DTD)


Vertikale und horizontale XML-Pipeline


Pull parser vs. Push parser


Push strategy vs. Pull strategy


ReadWindow Operationen


Auswirkungen unpassender Ausdrucksstärke


Sichere Erstellung: Prozessänderung


Grundlage der operationellen Semantik


Prinzip der translationalen Semantik


Round-trip Test


OCL Constraint für erforderliche Attribute


OCL Constraint für Textinhalte


Unique Particle Attribution

XML Schema Part 1: Structures
A content model must be formed such that during validation of an element
information item sequence, the particle component content contained directly,
indirectly or implicitly therein with which to attempt to validate each item in
the sequence in turn can be uniquely determined without examining the
content or attributes of that item, and without any information about the
items in the remainder of the sequence.


Sichere templategestützte Verarbeitung von XML-Dokumenten

Recomendados

Recomendados

Mais conteúdo relacionado

Destaque

Destaque (20)

Semelhante a Sichere templategestützte Verarbeitung von XML-Dokumenten

Semelhante a Sichere templategestützte Verarbeitung von XML-Dokumenten (20)

Mais de Falk Hartmann

Mais de Falk Hartmann (9)

Sichere templategestützte Verarbeitung von XML-Dokumenten

Notas do Editor