举国关注安全问题,InfoQ 多方专访,提供安全建议

  • 崔康

2011 年 12 月 22 日

话题:安全社区云计算DevOps语言 & 开发架构

这几天来,总数超过 5 亿的中国互联网网民发现:自己常用的几个网站都出现了用户名和密码泄漏的问题,而且波及范围越来越广,影响和严重程度也越来越深远。如果将其称为中国互联网有史以来最大的一场灾难,恐不为过。网站的用户信息和密码安全成为了举国关注的焦点。而对很多互联网企业来说,安全问题,恐怕是头一次成为他们不得不、而且必须要解决的首要问题。

针对这次事件,InfoQ 特别访问了安全企业、互联网企业和移动开发的相关从业人士,请他们就本次事件发表看法,并给出一些安全放马的建议。

InfoQ 安全系列—专访安全宝 CEO 马杰:安全需要做到整条战线的严丝合缝

InfoQ 安全系列—专访友录创始人姜洋,谈移动客户端安全

InfoQ 安全系列—专访韩轶平:整个行业都要提高安全意识

InfoQ 安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

同时,为了给从业人员提供一些安全方面的参考,InfoQ 中文站精选了近期发布的有关安全性的内容,供读者参考。​

Web 是否应该被加密?,关键字:互联网、HTTPS、SSL、加密​

8 月 4 日,HTTPS Everywhere 的1.0 版发布,包括了数百个新加的站点,以及精心制定的从 HTTP 转到 HTTPS 的规则。HTTPS 现在是互联网安全和隐私保护的基石。它在反“搜索劫持”上起着关键作用。HTTPS Everywhere 1.0 能够加密到 Google 图片搜索、Flickr、Netflix、Apple 以及例如 NPR 和经济学人这样的新闻网站的链接,当然这里面还包括了到数百个银行的链接。HTTPS Everywhere 也同样支持将 Google 搜索、Facebook、Twitter、Hotmail、Wikipedia、纽约时报以及数百个流行网站的链接加密。EFF Firefox 扩展也能够保护使用 Google、DuckDuckGo 或者 StartingPage 搜索的用户,但是不能保护 Bing 和 Yahoo 用户,因为这些搜索引擎不支持 HTTPS。

​​​Amazon 和 Eucalyptus 中的安全漏洞,​关键字:云计算、Amazon、SOAP、XML 签名、XSS 攻击​

德国研究人员在合著的一篇名为《你的云真的由你掌控吗——云管理界面的安全分析》的文章中讨论了 Amazon AWS 和 Eucalyptus 存在的安全漏洞,攻击者可以利用这些漏洞来完全控制受害者账户以及与之相关的存储数据。文章重点讨论了一种通过 SOAP 接口进行的 XML 签名攻击,并且揭露了额外两种跨站脚本(XSS)技术,攻击者可以利用这些技术从 web 管理界面侵入用户账户。Amazon 和 Eucalyptus 在这些漏洞被利用前对其进行了修复。

Mozilla 正考虑将 Java 列入黑名单,关键字:浏览器、Java、BEAST 技术​

Mozilla 基金会公开宣布正考虑在浏览器环境中屏蔽 Java 代码的执行,最近一项研究表明,Java 已成为危害浏览器安全的三大感染源之首。该研究调查了安装有 Windows 系统的主机是如何被轻而易举攻破的,此举将 Java 推到了名单之首。在未打补丁的 Java 运行环境上,缺陷占总体漏洞的 37%,紧随其后的分别是 Adobe Reader 的 32% 以及 Adobe Flash 的 16%。​随着 BEAST(Browser Exploit Against SSL/TLS)破解技术出现,客户端 Java 的存在也被推到了舆论的风口浪尖。由于 Java 插件自身的安全隐患,使得缺陷清单中的建议都建议将 Java 插件列黑。

美国政府新计划旨在寻找密码替代方案,关键字:政府支持、密码学、单点登录​

为了解决密码带来的虚假安全问题,美国政府启动了一项新的计划,寻找替代方案,并试图和私营企业的领导者就替代方法的标准达成共识。新的网络空间的可信任标识的国家战略(NSTIC)项目是国家标准与技术研究所(NIST)机构的一部分,于 2011 年初正式设立,资金有限却雄心勃勃。 这个计划必须和公司合作,以找到互联网范围的解决方案,这些公司的方案之前就不依赖密码,如可信的身份提供者和生物识别解决方案。虽然像一次性使用的密码或通过 Verizon 或 Google 提供的单点登录方法,可以减少风险或提供可靠的身份验证,但是一些人仍然觉得生物识别安全技术是提供核心标识的最好方法之一。

微软因为安全原因拒绝采用 WebGL​,关键字:微软、HTML5、浏览器

微软引用了两份分析 WebGL 中安全弱点的报告,以此作为不支持 WebGL 的主要原因,尽管 Google、Mozilla、Opera 和 Apple 都支持这种 3D 图形标准。 微软对 WebGL 的安全缺陷的抱怨基于Context Information Security编写的两份报告: 《WebGL——浏览器开发的新维度(WebGL – A New Dimension for Browser Exploitation)》《WebGL——更多 WebGL 安全缺陷(WebGL – More WebGL Security Flaws)》。这两份报告说明了在 WebGL 中发现的一些安全问题,像易于受到 DoS 攻击、跨域的图像窃取,以及 Firefox 实现中的一个 bug,那让攻击者可以窃取用户的数据。 ​

安全评估技术:代码审查和渗透测试,关键字:安全评估、代码审查、渗透测试

对 Web 应用程序的安全测试和评估应该包含两种技术,那就是安全代码审查和渗透测试技术。 OWASP的委员会成员 Dave Wichers 谈到了代码审查和渗透测试方法在寻找 web 应用程序的安全漏洞过程中的优势和劣势。Dave 说,代码审查和渗透测试都能够支持自动化分析工具,从而为该过程中的安全引擎提供帮助。 代码审查过程应该包括检查所有自定义开发的代码,还要检查应用程序的配置文件、库文件、框架以及部署应用程序的服务器。他比较了每种方法的优势和劣势。 渗透测试的优势在于,它需要更少的专业技能,更容易设置和执行,从而试验整个应用程序的架构,并找到漏洞。 而代码审查方法的优势则在于,它易于找到特定类型缺陷的所有内容和所有实例,它会验证正确的控件以及用在所需位置上的控件。

​设计安全的 Web 应用​,​​关键字:互联网、应用层攻击、安全设计

Web 应用面临的安全威胁中尤以应用层的攻击最难以防范,演讲者将主要介绍目前针对 Web 应用攻击的趋势和主要技术手段。然后介绍在 Web 应用架构设计过程中的安全考虑,包括认证与授权、页面跳转等。最后演讲者详细介绍了分布式架构设计过程中注意事项,包括 Flex 应用中的服务端认证和提权,大型 Web 应用的 SSO 等。

圆桌会议:云计算的安全风险,关键字:云计算、安全框架、安全控制​

客座编辑 Iván Arce 和 Anup Ghosh 举办了一场圆桌讨论会,邀请的是那些奋战在云计算安全一线的专家们,他们为市场提供服务并从中寻找来自真实世界的安全威胁和需求,通过他们读者能够了解到云计算相关的知识。​

设计一种云级别身份认证结构,关键字:云计算、身份认证、联邦式结构

许多企业仍然对在全范围内采用云来处理关键工作表示担心。最常被提起的不愿意迁移到云端的理由就是对安全的担心。特别是管理用户和访问云端的权限对于组织来说是一个很大的安全方面的疑虑,也是一个棘手的问题。在云端的身份管理格外的困难,因为身份本身具有跨界的特点,而且身份管理会同时在架构上和组织上产生影响。许多业者害怕使用云会把自己暴露给可能的攻击和数据破坏。另外,很多公司并没有充分的条件来在企业级别和云端管理身份认证,因为他们缺乏灵活的身份管理来囊括两种领域。云端的身份管理还需要进化,才能够成为一个值得信赖的计算平台。而一种革命性的身份管理方式——联邦式身份认证结构——可以跨越企业和云端的界限。

关注网银系统:安全模型和架构设计,关键字:网银、安全模型、安全设计

随着网络的普及和金融业务的不断扩展,网上银行已经逐渐成为人们日常理财工具之一。由于互联网的开放性,安全性成为网银系统设计和实施的重要挑战。根据一份国内媒体的调查结果统计,超过九成的网民有意尝试网银业务,但是超过一半的受访者担心安全性问题。而在国外,根据美国互联网犯罪投诉中心报告,2009 年美国银行客户因网上账号被盗而遭受的经济损失高达 5.59 亿美元。网银系统安全的重要性可见一斑,相关的软件开发人员也面临巨大的挑战。

Bill Veghte 谈如何在变幻莫测的环境下增强企业的安全性​,关键字:企业软件、安全响应模型、服务级别协议(SLA)​

来自 HP 的 Bill Veghte 说到企业需要采取新的模型来保护关键的公司基础设施资产与信息,进而对现代业务提供支持。Bill 认为安全手段应该包括缺陷、事故及风险的可视化。组织需要从分层的安全模型转到全局安全模型上来,其中包含了业务流程、用户与系统,他们共同作为整个安全响应模型的组成部分。我们还应该创建安全智能策略,其中包含了以流程为中心的风险管理。安全集成过程应该包含收集与安全事故和缺陷相关的数据集,并提供正确的分析以将环境引入到安全缺陷当中。他说到,新的安全手段应该包含与服务级别协议(SLA)等 IT 度量类似的风险级别协议(Risk Level Agreements)等度量。可以使用 HP IT Management Portfolio 等工具统一各个层次的安全性以实现完全的可视性。​

软件开发生命周期中的安全性​,关键字:生命周期、应用安全性、敏捷安全​

微软的 Steve Lipner 在RSA 大会 2011上发表了关于应用程序安全性的演讲,其中谈到在软件开发生命周期中的安全性。他向大家介绍了微软创建的安全性开发生命周期过程,其中包括以下阶段:安全性培训、需求分析、设计、实现、验证、发布和反馈。另外,SDL 框架还有一个敏捷的版本,它支持把安全性因素整合到敏捷开发过程中。

​有关安全方面的更多内容,可以查看这里。InfoQ 将持续关注软件开发领域的安全设计和实现,也欢迎读者发表自己的看法。

安全社区云计算DevOps语言 & 开发架构