BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

举国关注安全问题,InfoQ多方专访,提供安全建议

| 作者 崔康 关注 0 他的粉丝 发布于 2011年12月23日. 估计阅读时间: 12 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

这几天来,总数超过5亿的中国互联网网民发现:自己常用的几个网站都出现了用户名和密码泄漏的问题,而且波及范围越来越广,影响和严重程度也越来越深远。如果将其称为中国互联网有史以来最大的一场灾难,恐不为过。网站的用户信息和密码安全成为了举国关注的焦点。而对很多互联网企业来说,安全问题,恐怕是头一次成为他们不得不、而且必须要解决的首要问题。

针对这次事件,InfoQ特别访问了安全企业、互联网企业和移动开发的相关从业人士,请他们就本次事件发表看法,并给出一些安全放马的建议。

InfoQ安全系列—专访安全宝CEO马杰:安全需要做到整条战线的严丝合缝

InfoQ安全系列—专访友录创始人姜洋,谈移动客户端安全

InfoQ安全系列—专访韩轶平:整个行业都要提高安全意识

InfoQ安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

同时,为了给从业人员提供一些安全方面的参考,InfoQ中文站精选了近期发布的有关安全性的内容,供读者参考。​

Web是否应该被加密?,关键字:互联网、HTTPS、SSL、加密​

8月4日,HTTPS Everywhere的1.0版发布,包括了数百个新加的站点,以及精心制定的从HTTP转到HTTPS的规则。HTTPS现在是互联网安全和隐私保护的基石。它在反“搜索劫持”上起着关键作用。HTTPS Everywhere 1.0能够加密到Google图片搜索、Flickr、Netflix、Apple以及例如NPR和经济学人这样的新闻网站的链接,当然这里面还包括了到数百个银行的链接。HTTPS Everywhere也同样支持将Google搜索、Facebook、Twitter、Hotmail、Wikipedia、纽约时报以及数百个流行网站的链接加密。EFF Firefox扩展也能够保护使用Google、DuckDuckGo或者StartingPage搜索的用户,但是不能保护Bing和Yahoo用户,因为这些搜索引擎不支持HTTPS。

​​​Amazon和Eucalyptus中的安全漏洞,​关键字:云计算、Amazon、SOAP、XML签名、XSS攻击​

德国研究人员在合著的一篇名为《你的云真的由你掌控吗——云管理界面的安全分析》的文章中讨论了Amazon AWS和Eucalyptus存在的安全漏洞,攻击者可以利用这些漏洞来完全控制受害者账户以及与之相关的存储数据。文章重点讨论了一种通过SOAP接口进行的XML签名攻击,并且揭露了额外两种跨站脚本(XSS)技术,攻击者可以利用这些技术从web管理界面侵入用户账户。Amazon和Eucalyptus在这些漏洞被利用前对其进行了修复。

Mozilla正考虑将Java列入黑名单,关键字:浏览器、Java、BEAST技术​

Mozilla基金会公开宣布正考虑在浏览器环境中屏蔽Java代码的执行,最近一项研究表明,Java已成为危害浏览器安全的三大感染源之首。该研究调查了安装有Windows系统的主机是如何被轻而易举攻破的,此举将Java推到了名单之首。在未打补丁的Java运行环境上,缺陷占总体漏洞的37%,紧随其后的分别是Adobe Reader的32%以及Adobe Flash的16%。​随着BEAST(Browser Exploit Against SSL/TLS)破解技术出现,客户端Java的存在也被推到了舆论的风口浪尖。由于Java插件自身的安全隐患,使得缺陷清单中的建议都建议将Java插件列黑。

美国政府新计划旨在寻找密码替代方案,关键字:政府支持、密码学、单点登录​

为了解决密码带来的虚假安全问题,美国政府启动了一项新的计划,寻找替代方案,并试图和私营企业的领导者就替代方法的标准达成共识。新的网络空间的可信任标识的国家战略(NSTIC)项目是国家标准与技术研究所(NIST)机构的一部分,于2011年初正式设立,资金有限却雄心勃勃。 这个计划必须和公司合作,以找到互联网范围的解决方案,这些公司的方案之前就不依赖密码,如可信的身份提供者和生物识别解决方案。虽然像一次性使用的密码或通过Verizon或Google提供的单点登录方法,可以减少风险或提供可靠的身份验证,但是一些人仍然觉得生物识别安全技术是提供核心标识的最好方法之一。

微软因为安全原因拒绝采用WebGL​,关键字:微软、HTML5、浏览器

微软引用了两份分析WebGL中安全弱点的报告,以此作为不支持WebGL的主要原因,尽管Google、Mozilla、Opera和Apple都支持这种3D图形标准。 微软对WebGL的安全缺陷的抱怨基于Context Information Security编写的两份报告: 《WebGL——浏览器开发的新维度(WebGL – A New Dimension for Browser Exploitation)》《WebGL——更多WebGL安全缺陷(WebGL – More WebGL Security Flaws)》。这两份报告说明了在WebGL中发现的一些安全问题,像易于受到DoS攻击、跨域的图像窃取,以及Firefox实现中的一个bug,那让攻击者可以窃取用户的数据。 ​

安全评估技术:代码审查和渗透测试,关键字:安全评估、代码审查、渗透测试

对Web应用程序的安全测试和评估应该包含两种技术,那就是安全代码审查和渗透测试技术。 OWASP的委员会成员Dave Wichers谈到了代码审查和渗透测试方法在寻找web应用程序的安全漏洞过程中的优势和劣势。Dave说,代码审查和渗透测试都能够支持自动化分析工具,从而为该过程中的安全引擎提供帮助。 代码审查过程应该包括检查所有自定义开发的代码,还要检查应用程序的配置文件、库文件、框架以及部署应用程序的服务器。他比较了每种方法的优势和劣势。 渗透测试的优势在于,它需要更少的专业技能,更容易设置和执行,从而试验整个应用程序的架构,并找到漏洞。 而代码审查方法的优势则在于,它易于找到特定类型缺陷的所有内容和所有实例,它会验证正确的控件以及用在所需位置上的控件。

​设计安全的Web应用​,​​关键字:互联网、应用层攻击、安全设计

Web应用面临的安全威胁中尤以应用层的攻击最难以防范,演讲者将主要介绍目前针对Web应用攻击的趋势和主要技术手段。然后介绍在Web应用架构设计过程中的安全考虑,包括认证与授权、页面跳转等。最后演讲者详细介绍了分布式架构设计过程中注意事项,包括Flex应用中的服务端认证和提权,大型Web应用的SSO等。

圆桌会议:云计算的安全风险,关键字:云计算、安全框架、安全控制​

客座编辑Iván Arce 和Anup Ghosh举办了一场圆桌讨论会,邀请的是那些奋战在云计算安全一线的专家们,他们为市场提供服务并从中寻找来自真实世界的安全威胁和需求,通过他们读者能够了解到云计算相关的知识。​

设计一种云级别身份认证结构,关键字:云计算、身份认证、联邦式结构

许多企业仍然对在全范围内采用云来处理关键工作表示担心。最常被提起的不愿意迁移到云端的理由就是对安全的担心。特别是管理用户和访问云端的权限对于组织来说是一个很大的安全方面的疑虑,也是一个棘手的问题。在云端的身份管理格外的困难,因为身份本身具有跨界的特点,而且身份管理会同时在架构上和组织上产生影响。许多业者害怕使用云会把自己暴露给可能的攻击和数据破坏。另外,很多公司并没有充分的条件来在企业级别和云端管理身份认证,因为他们缺乏灵活的身份管理来囊括两种领域。云端的身份管理还需要进化,才能够成为一个值得信赖的计算平台。而一种革命性的身份管理方式——联邦式身份认证结构——可以跨越企业和云端的界限。

关注网银系统:安全模型和架构设计,关键字:网银、安全模型、安全设计

随着网络的普及和金融业务的不断扩展,网上银行已经逐渐成为人们日常理财工具之一。由于互联网的开放性,安全性成为网银系统设计和实施的重要挑战。根据一份国内媒体的调查结果统计,超过九成的网民有意尝试网银业务,但是超过一半的受访者担心安全性问题。而在国外,根据美国互联网犯罪投诉中心报告,2009年美国银行客户因网上账号被盗而遭受的经济损失高达5.59亿美元。网银系统安全的重要性可见一斑,相关的软件开发人员也面临巨大的挑战。

Bill Veghte谈如何在变幻莫测的环境下增强企业的安全性​,关键字:企业软件、安全响应模型、服务级别协议(SLA)​

来自HP的Bill Veghte说到企业需要采取新的模型来保护关键的公司基础设施资产与信息,进而对现代业务提供支持。Bill认为安全手段应该包括缺陷、事故及风险的可视化。组织需要从分层的安全模型转到全局安全模型上来,其中包含了业务流程、用户与系统,他们共同作为整个安全响应模型的组成部分。我们还应该创建安全智能策略,其中包含了以流程为中心的风险管理。安全集成过程应该包含收集与安全事故和缺陷相关的数据集,并提供正确的分析以将环境引入到安全缺陷当中。他说到,新的安全手段应该包含与服务级别协议(SLA)等IT度量类似的风险级别协议(Risk Level Agreements)等度量。可以使用HP IT Management Portfolio等工具统一各个层次的安全性以实现完全的可视性。​

软件开发生命周期中的安全性​,关键字:生命周期、应用安全性、敏捷安全​

微软的Steve Lipner在RSA大会2011上发表了关于应用程序安全性的演讲,其中谈到在软件开发生命周期中的安全性。他向大家介绍了微软创建的安全性开发生命周期过程,其中包括以下阶段:安全性培训、需求分析、设计、实现、验证、发布和反馈。另外,SDL框架还有一个敏捷的版本,它支持把安全性因素整合到敏捷开发过程中。

​有关安全方面的更多内容,可以查看这里。InfoQ将持续关注软件开发领域的安全设计和实现,也欢迎读者发表自己的看法。

 

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT