ACM通信

实践

浏览器安全:外表可能是骗人的

中央电视台工作人员
ACM通信，2013年1月，第56卷第1期，60-67页
10.1145/2398356.2398372
评论

似乎每天都有新的安全漏洞发生。在互联网上，每秒钟都有越来越多的敏感数据。至于隐私，我们在Facebook、网上聊天、网上银行、网上购物、网上投资……我们把它都放出来了。所有这些个人身份信息的保护情况如何?不是很。

浏览器是我们与Web最重要的连接，也是我们的第一道防线。但浏览器供应商是否履行了保护用户的承诺?他们声称已经通过各种方式做到了这一点，但其中许多说法都是站不住脚的。从SSL(安全套接字层)到不跟踪倡议，再到HTML5的浏览器插件，加强安全和隐私保护的努力都远远达不到要求。

例如，许多专家不认同这样一种观点，即在Internet上提供安全性的最广泛使用的协议SSL CA(证书颁发机构)模型实际上提供了足够的传输层安全性。但是，尽管它有种种缺点，供应商对改变这种模式仍有很大的阻力。

HTML5正在等待着，许多人认为它是改进Web体验的下一步，同时保持与现有浏览器的兼容性。它的提出带来了巨大的希望，但到目前为止，它还没有充分解决安全缺陷。

厂商已经尝试通过提供插件来实现更好的浏览器安全性，但用户首先必须知道在哪里可以找到这些插件，然后才能下载、安装和配置它们。这要求太过分了。这也意味着首先要意识到许多企业从未听说过跨站点请求伪造或点击劫持的危险，大多数用户也不知道他们的个人信息究竟暴露在多大程度上。这不是一个容易传达的信息。

同样，用户必须积极主动地从“不跟踪”倡议中获得任何保护，这是一种要求互联网公司停止跟踪用户一举一动的手段。尽管得到了W3C和联邦贸易委员会(Federal Trade Commission)的支持，但它也有不足之处，因为它要求一般不知情的用户自行选择，而不是将其作为默认设置。

对于这个关于浏览器安全的案例研究，ACM组织了一个经验丰富的小组来打破当前浏览器中一些神秘的安全声明，并论证增加保护的理由。

耶格罗斯曼他是WhiteHat Security的创始人和CTO, WhiteHat Security是一家领先的Web应用安全服务提供商，包括Sentinel(网站漏洞管理解决方案)。他是WASC (Web应用程序安全联盟)的创始成员，因其在Web应用程序安全方面的专业知识而受到追捧。在加入WhiteHat之前，他是雅虎的信息安全官。

---

耶利米·格罗斯曼:还有人真的相信CA模式是有效的吗?它完全坏掉了。”

---

本Livshits是微软研究院的研究员，也是华盛顿大学的附属教授。他一直致力于改进Web 2.0应用程序和浏览器的可靠性、性能和安全性。

安全技术专家丽贝卡·格利·贝斯他是Infidel的总裁兼首席执行官，Infidel是一家网络安全咨询公司，也是南阿拉巴马大学取证、信息技术和安全中心的首席策略师。她的职业生涯包括10年的安全投资监督，在多个IT安全社区担任创始角色，并在许多成功的安全企业担任顾问，包括在公共和私营部门。此前，Bace是美国国家安全局(NSA)的高级电子工程师，并担任NSA信息安全(Infosec)研究与技术小组的特许成员。她离开国家安全局，成为洛斯阿拉莫斯国家实验室计算、信息和通信部门的副安全官员。

促进讨论的是乔治Neville-Neil他是一名软件工程师，专门为金融服务行业的客户开发高速、低延迟的系统。此前，他是雅虎(Yahoo!)偏执狂安全小组。从2004年到2008年，Neville-Neil在日本工作，在那里他开发了一套被称为“偏执大学”的课程，向雅虎的工程师教授安全和安全的编程。在过去的10年里，他一直在ACM队列最近，他加入了ACM实践者委员会。

乔治·NEVILLE-NEIL:在谈到当前的SSL CA模型时，Jeremiah，您之前说过没有任何SSL特性会被关闭。从CA模型中关闭某些东西到底意味着什么?

耶格罗斯曼:许多安全专家，包括我自己，都认为Convergence是可行的，并认为它应该尽快取代CA模型，因为我们目前的模型显然不起作用。但这一点还没有被普遍接受。除了接受之外，更大的挑战将是管理向收敛的迁移。假设我们只是将它与CA模型一起添加。我们在什么时候关闭CA模型?毕竟，只有这样做，我们才能真正实现聚合的安全好处。否则，就像等待切换到IPv6一样，每个人都将继续陷入和以前一样的混乱中。

---

BEN LIVSHITS:有很多人担心，任何真正执行的不跟踪可能最终会破坏网络经济的基本收入模式。我认为我们不太可能很快看到任何形式的强制执行。”

---

GN-N:这到底是怎么回事?

詹:ca将被转换为公证员，然后浏览器用户将选择信任哪个公证员。如果其中任何一个公证员因为任何原因变得不可信任，用户可以很容易地取消对该特定公证员表示的信任。这是非常重要的，因为在当前的CA模型中，在不破坏Web的情况下撤回对任何一个CA的信任是非常困难的，甚至是不可能的，这使得事情非常具有挑战性。

[计算机安全研究员]Moxie Marlinspike(化名)对CA模型提出的主要批评之一与缺乏信任敏捷性有关。也就是说，我们决定信任谁，就必须永远信任谁。尽管如此，Moxie和负责引入Convergence插件的团队表示，他们已经尽可能地贯彻了这个想法，而浏览器供应商现在需要把它贯彻到剩下的道路上，但浏览器供应商似乎并不感兴趣。

GN-N:收敛模型的最大问题是它相信用户会做正确的事情，但大多数用户只会做他们被告知的任何事情。

詹:也许这对我来说太天真了，但我认为用户很清楚他们信任谁，他们愿意信任谁，以及他们知道他们不会信任谁。

融合还提供了灵活性。我今天可以信任五个公证人，明天就换五个。我不需要很多技术知识也能做到。

然而，融合仍面临两大挑战。首先是要让浏览器供应商实现它，坦率地说，他们似乎没有太多动力去做这件事。不过，为了讨论的方便，我们假设他们做了。下一个挑战是如何让人们去做公证员。这是一个相当大的挑战，因为没有明显的商业模式，也就是说任何人都没有办法赚钱。因此，要达到公证员的临界数量是非常困难的。

说了这么多，还有人真的相信CA模型是有效的吗?它完全坏掉了。

丽贝卡·确定新基点:即使在证书模式的早期，也有很多批评，认为它是盲目采用过时的纸质国防部模式，没有真正从技术角度考虑问题。

詹:在一次关于身份验证的演讲中，Moxie说他已经找到了一个最直接负责浏览器SSL CA模型的人，那个人告诉他:“哦，对了，CA模型……我们只是把它放在最后。我们真的不知道。”

那么，为什么浏览器供应商坚持这种明显过时的CA模型，同时明确表示，尽管所有的社区都支持收敛，但他们不想帮助收敛呢?

GN-N:这可能是因为迁移到Convergence意味着他们要做更多的工作。这就是人们抗拒做某事的原因。

不管怎样，实现者是要担心它，还是要等待浏览器供应商来创建它?

詹:根据我对聚合规范的理解，目前启用SSL的180万个网站应该不需要做任何事情，因为这个想法是让所有东西都像当前一样工作。一切都应该在浏览器和公证处发生。我们应该能够在过渡期间继续使用CA模型，但是我们还需要在不同的组织中设立20到100个公证员，并且浏览器需要支持这一点。

GN-N:到目前为止，我们已经讨论了保护。现在让我们看看攻击端发生了什么。

詹:几年前，我在一次会议上谈到了内部网黑客，引起了一阵愤怒。我的意思是，你可以访问一个网站，并使用它来迫使你的浏览器对你想要的任何位置发出基本上任何类型的Web请求。我们现在通常称之为跨站点请求伪造，但直到2006年，还没有人真正考虑过这个问题。当然，人们知道，您可以强制您的浏览器向任何公共网站发出请求，但是Robert Hampton和我观察到，您可以强制您的浏览器向RFC-1918网络发出请求，例如10.0.0.1，然后就开始入侵内部网。

我们展示了如何进入一个公共网站，迫使浏览器从内部侵入自己的DSL路由器，然后移到Web界面并更改设置。通常情况下，内部网上的设备没有很好的Web安全性，因为人们认为无法从外部入侵它们，这是事实。但与此同时，也没有什么可以阻止浏览器本身被外部的坏人用作攻击平台。

我问过不同的浏览器供应商以下问题:“如果我在一个公共网站上，为什么你们允许该网站强迫我的浏览器发出RFC-1918请求?”他们通常会提出两点作为回应。一是不这样做可能会打乱某些代理配置，我不确定他们是什么意思。另一点是，有时实际上有一个合法的使用情况，即一些公司的公共网站实际上引用了各种资源，以造福于RFC-1918网络上的员工。所以基本上，这个论点是，因为一些大公司采用了一些非常愚蠢的做法，我们其余的人不得不生活在互联网安全的妥协中。

GN-N:然而，我怀疑他们是否会这么说。

詹:浏览器供应商只是不愿意做任何会扰乱Web的事情，因为他们担心市场份额。任何可能破坏一小部分网络并失去1%市场份额的功能都是他们不会考虑的。这里需要记住的是，我们这些使用这些浏览器的人并不真正被认为是客户。相反，我们是生产者，至少与我们在线行为相关的数据是产品。

GN-N:在隐私方面，现在似乎出现了一些挑战现状的苗头。你对美国联邦贸易委员会(Federal Trade Commission)发起的“不跟踪”(Do Not Track)倡议有什么看法?

詹:基本上，这相当于浏览器可以传递给网站一个标题，说:“请不要跟踪该用户。”它有效地将网站置于荣誉系统中，在追踪方面。

GN-N:你是说这有点像robots.txt，只是方向相反?

本LIVSHITS:也许是类似的东西。

詹:没有刑事制裁作为后盾，因此一旦该倡议真正开始被采纳，任何执法都将不得不以民事诉讼的形式进行。谷歌是为它提供浏览器支持的最后一个，但没有承诺任何特定的日期。

另一个挑战是，“不跟踪”某人的含义没有明确的定义。有些人认为这意味着他们可以跟踪你，但不能向你做广告。

提单:浏览器供应商很容易将其实现为一个特性。有些人会选择打开它，但如果该功能在默认情况下没有打开，这个比例可能不会很高。即使他们决定开启“不跟踪”功能，并且能够弄清楚如何做到这一点，他们仍然需要弄清楚它到底是什么。对用户进行身份验证的站点呢?那个网站也不允许跟踪用户吗?这是一种荒谬的矛盾。那网上商家呢?他们要跟踪货物以确保你的订单能送到，对吧?

真正奇怪的是，我们有浏览器支持这一功能，而且很可能很快就会全面提供，但对它的含义仍然没有达成共识。

詹:真正有意义的告诉用户不要跟踪的唯一地方是在浏览器级别，而浏览器的人完全不愿意做这类事情。按照Ben的观点，如果您查看到目前为止的所有实现，您会发现“不跟踪”在所有实现中都是默认关闭的，并且被埋在三次点击深的地方，没有人会找到它。但有一个值得注意且极具争议的例外:ie 10，它在安装时实际上启用了“不跟踪”功能。

提单:也有很多人担心，任何真正执行的不跟踪可能最终破坏网络经济的基本收入模式。我认为我们不太可能很快看到任何形式的强制执行。

詹:很难想象在任何情况下，他们将如何执行这一规定。作为一个用户，我怎样才能发现有人违反了“不跟踪”的规定一直在跟踪我呢?你怎么才能发现呢?

RB:我自己的观点是，这是一个典型的例子，说明政策制定者决定发布某些格言，只是因为它看起来不错。然后，技术解决方案提供商欣然同意，他们完全知道新政策将完全无法执行。这一政策对该行业来说不过是装门面而已。

数据就是金钱，这就是浏览器安全争论的核心。浏览器用户并不完全了解自己数据的价值，但facebook和谷歌肯定了解。引入帮助用户保护数据的措施会阻碍用户充分利用数据的价值。这对实施强大的浏览器隐私保护措施是一个很大的阻碍。

增加更强的安全性还需要权衡，更高的安全性通常意味着更少的功能。功能的丧失会导致市场份额的丧失，这是供应商最担心的。

只有当用户开始看到他们数据的价值并要求对其进行更多的保护时，隐私措施才会得到应有的保护。如果市场向这个方向转变，并且供应商看到为他们的浏览器增加更好的保护实际上可以增加市场份额，那么，只有到那时，这些措施才会成为标准的操作实践。

GN-N:我们稍早讨论过浏览器用户，而不是浏览器本身，才是这里真正的产品。有人想要扩展吗?

RB:事实就是这样，它是整个空间的基础。我认为，浏览器安全领域的每一个难题都植根于这样一个事实:我们不是在处理一个经典的商业模式。也就是说，目前用户不向浏览器制造商支付软件费用，也不为此支付软件的维护和维护费用。

詹:浏览器制造商正在直接或间接地将您的数据变现，因此无法在不赔钱的情况下保护这些数据。这就造成了非常困难的局面。

提单:我不确定你是否真的可以说是浏览器制造商在“把你的数据变现”。如果有什么区别的话，那就是那些将你的数据变现的网站。

詹:事实上，两者之间有明显的相互作用。看看谷歌Chrome;这显然是在把你的数据变现。Mozilla公司98%的收入直接来自谷歌。然后是微软(Microsoft)，你可以说它现在也急于进入广告业务。因此，这就提出了一个问题:当这些努力与整个企业所立足的基础明显不一致时，你如何努力建立更健康的商业激励机制?

提单:我不知道。隐私的一个问题是很难给它估价。甚至很难说服用户，他们自己的隐私实际上值那么多钱。

詹:也许用户只是没有意识到他们的每一次鼠标点击都放弃了什么。

提单:是的，但是有一些公司，比如Allow (http://i-allow.com)，只要你愿意与之分享你的信息，它就会明确地与你签约，收取20到50美元。例如，也有各种各样的实验正在进行，以确定每个Facebook“喜欢”的价值。他们发现，虽然一些用户的信息相当有价值，但还有许多其他用户的信息基本上是无用的。

RB:我认为这个问题在更大的价值浪潮中发挥了作用。很难找到25岁以下真正关心隐私的人。我年轻的侄女们高兴地告诉我，她们从一开始就从来没有觉得自己有任何隐私，所以为什么现在要开始关心呢?

GN-N:你也有那些经历过20世纪60年代和70年代的人，当时人们的数据被政府曝光的故事非常猖獗。很多这个年龄的人刚刚习惯了侵犯隐私的行为。他们可能在生命的某个时刻在乎过，但现在他们已经不在乎了。

詹:另一个方面是，安全和隐私已经融合在一起。例如，如果您认为可以信任谷歌来处理您的数据，那么这个问题就不再是关于隐私的了;这一切都是为了安全。另一方面，如果您不信任您的提供商，您可以区分安全性和隐私性。

一旦您跨越了这个阈值，并决定信任某人来处理您的数据，您就处于与我们前面讨论的CA模型相同的情况中。也就是说，你基本上要永远相信他们。这并不是说你可以把你的数据从Facebook上拿回来，然后说，“嘿，你不能再使用这些数据了。”

GN-N:是的，试一试!

詹:你可以获得一份你的数据副本，根据(维基解密的)朱利安·阿桑奇(Julian Assange)的说法，这份副本可以达到1000页。但是，你猜怎么着，我不认为他们会删除这些信息。

RB:违背我们的信任已经是司空见惯的事情，即使是在最神圣的领域，即医疗保健领域，在这个领域，您可能会认为对个人数据的保护是神圣不可侵犯的。如果人们的信任在这个领域得不到尊重，我们还能指望在其他地方得到更忠实的保护吗?

詹:这就是为什么“不跟踪”默认是关闭的，这真的让我很困扰。当用户意识到他们放弃的是什么时，已经没有办法挽回损失或夺回任何程度的控制权。正如[计算机安全专家]Bruce Schneier曾经指出的，云计算中没有删除键，或者至少不能保证，一旦你按下删除键，东西就会被删除。

GN-N:还有希望吗?

詹:我有一个很好的策略来保护我自己的数据，至少它足以提高我的舒适程度。我认为这是一种其他人也可以使用的方法。挑战在于，这需要一些行为准则和一些诀窍，而这两者对于大多数用户来说都是缺乏的。人们也几乎没有动力去清理自己的行为，因为在很大程度上，他们甚至没有意识到我们一直在谈论的问题。尽管如此，我还是要说，我们还是有一些希望的，因为我们可以采取一些措施来保护自己。

GN-N:你认为浏览器供应商在帮助解决问题吗?

詹:不。举个例子:因为我真的不喜欢整个SSL模型，所以我把SSL vpn(虚拟专用网络)放在了Amazon云上，这样，无论我在哪里，我都可以在敌对的或不可信的网络上被加密，同时也确保没有人能够在最后一英里里嗅出我的踪迹。这只是你可以做的一件小事。这不是我妈妈能做到的，但任何技术人员肯定都能做到。

RB:我与(风险管理专家)丹•吉尔(Dan Geer)就人们何时开始在互联网上提供功能相当于封闭社区的服务进行了长期的争论，在那里，你将能够购买到一个有管理的安全环境，其中有一个现成的互联网安全屏障，能够保护你的隐私不被侵犯或个人信息不被泄露。

詹:吉尔说，问题不在于谁应为当前的混乱局面负责，而在于谁将为此负责。如果你说，“用户是应该承担责任的人”就像我们今天所处的位置那样，这并不能很好地发挥作用，不是吗?

因此，您可能会说，“好吧，ISP应该为所有这些糟糕的流量负责”，但随后您将不得不让ISP监控、记录和分析您的所有流量，直到非常详细的程度。您可以要求政府处理混乱的情况，但它需要同样详细的数据访问级别，因此需要建立新的权力和法律来提供这一点。这些选择似乎都不是特别吸引人。

HTML5可能并不完美，但它是不可避免的，很快就会成为所有现代浏览器的一部分。它增加了一些特性，特别是多媒体功能，旨在使浏览器成为一个更丰富的环境。这正是Web开发人员想要的，因为它可以增加市场份额。

---

REBECCA BACE:很难找到25岁以下真正关心隐私的人。我的小侄女们高兴地告诉我，她们从来没有觉得自己有任何隐私，所以为什么现在要开始关心呢?”

---

HTML5做得特别不好的是为浏览器增加安全性。这也为一些网络攻击敞开了大门。因此，许多安全专家认为HTML5是一个不可原谅的错失机会。任何安全解决方案都必须与HTML5分开。所以，是的，它是新的，改进了的，但它救不了我们。

GN-N:HTML5现在和我们在一起了，有些人可能希望它能在安全方面带来一些缓解。任何评论?

詹:HTML5的整个想法是通过一个开放的标准为本地浏览器带来更丰富的媒体，这样你就不需要添加诸如Flash、QuickTime和其他各种疯狂的插件。这是巨大的，因为插件已经被证明是安全漏洞的主要来源。然而，错失的机会是HTML5未能解决一些长期存在的Web安全问题，如跨站点脚本编制、点击劫持和跨站点请求伪造。HTML5开发者只是把这一切都押上了。

---

存储过程在数据库中是一个聪明的想法，但在客户端中却是一个可怕的想法。

---

然后他们添加了沙盒标签作为一种创可贴，能够说他们为提供Web安全尽了自己的一份力。我可以继续说下去。我认为HTML5会让浏览器的安全性变得更糟，这方面的例子有很多。

GN-N:我对跨站点脚本编写和跨站点引用伪造的经验是，处理它的唯一真正方法是在服务器上处理它。这通常意味着深入到使用服务器端代码的人的头脑中，他们需要做的是确保这些攻击不会再次发生。

点击劫持完全是另一回事。现在，它可能是最可能为坏人带来巨大回报的利用方式，而跨站点脚本和跨站点引用劫持则更像是试图制造麻烦的人的行为。

Facebook的大部分安全措施都花在了防止“点击劫持”(clickjacking)上，在这方面它当然不是唯一一家。事实上，我认为这是一个新的前沿领域，我不认为HTML5能够解决这个问题。

詹:这本来是可以解决的，但就目前而言，HTML5没有安全模型可以将第三方数据或代码安全地整合到你的网站中。这个模型应该会在之后的“跨站点安全策略”或“跨站点内容安全策略”中出现。即便如此，它仍将独立于HTML5。

至于Facebook，点击劫持只是一个问题，因为Facebook希望在网络上跟踪你。这方面的点击劫持将是无法解决的，因为Facebook真正想要的是在每个人的页面上添加“喜欢”按钮。你总是可以点击一些本来应该被裱起来的东西。在自己的网站上，Facebook已经或多或少地解决了点击劫持问题。

GN-N:当然，不仅仅是Facebook想在所有地方都放上某种按钮。

詹:没错，这就是为什么在最近的BlueHat会议上，有一份简报描述了一种新的解决方案，包括在浏览器中添加反点击劫持的内容。但是，所有这些工作都是独立于HTML5的。

GN-N:你对HTML5还有什么担心?

詹:您熟悉使用会话存储来替代cookie吗?基本上，除了数据之外，一些Web程序员还开始将实际可执行的JavaScript代码放入本地存储中。这样，当页面加载时，他们可以直接对代码进行eval，而不必进行网络调用，因为这样可以获得性能上的优势。

当然，坏人会觉得这很吸引人。如果他们在加载该代码的站点上跨站点编写脚本，他们将能够通过后门访问应用程序，从而永久访问任何加载该程序的客户机，因为后门代码将始终运行。

GN-N:存储过程在数据库中是一个聪明的想法，但在客户机中却是一个可怕的想法。

詹:即使您知道了这个漏洞，退出也几乎是不可能的。您当然无法从服务器覆盖它。所以，虽然HTML5的人会说他们没有增加攻击面，但我认为他们实际上还不知道所有的影响将是什么。

GN-N:这将真正简化看起来非常像病毒的东西的传播。

詹:确实如此，但这还不是很明显，因为HTML5的这种使用方式还不是特别普遍。不过，再过几年，它就会无处不在，因为它确实快得多。

GN-N:这告诉我，浏览器供应商应该包括一个功能，让您刷新应用程序的程序空间——也许不是从服务器，但用户应该至少能够刷新一个糟糕的应用程序。现在我突然想到在你的浏览器中运行的病毒扫描程序。

詹:哦，是的，肯定会是这样的。

提单:即便如此，确保数据完整性也不是一件容易的事。如果您有复杂的数据结构，谁能保证其中的一些数据结构没有以某种微妙的方式受到影响呢?

詹:我认为浏览器供应商有意无意地做了什么，就是把浏览器变成了一个新的操作系统。

GN-N:你知道，Chrome不是白叫谷歌Chrome OS的。

詹:这是正确的。实际上，在这个沙盒中，应用程序之间并没有那么多的安全缓冲。

GN-N:我们一直在利用HTML5，但人们是否能够做些什么来提供更好、更安全的用户体验?

詹:让我们明确一点:如果你使用任何现代浏览器，你最终都会使用HTML5。在浏览器中没有办法关闭它，因为它不是一个功能。这是HTML。你不能在浏览器中关闭HTML。

GN-N:我并没有考虑关闭HTML5，尽管这是个有趣的想法。在任何情况下，我不认为典型的用户会关闭任何东西。这取决于客户端和服务器应用程序开发人员，以这样一种方式构建东西，即使面对一个完全开放的浏览器，用户也不会经常被滥用。

詹:我可以分享我是如何保护自己的，以及我是如何指导我妈妈这么做的。拿两个浏览器，任何现代的浏览器已经更新就可以了。重要的是要有两个，这样你就可以划分风险。第一个将是主浏览器，你用它来进行各种各样的浏览——阅读新闻，访问喜爱的网站，点击推特上的链接，以及任何你想做的事情。但千万不要用主浏览器处理你认为敏感或重要的在线账户。

如果你使用的是Chrome或Firefox，你还应该将广告拦截和跟踪器拦截作为浏览器的扩展。这不仅是为了保持理智，也是为了防止大量恶意软件，这些恶意软件通常会通过广告网络传播。如果你以隐姓家或私人模式跑步，还会加分。这也可以为你节省一点隐私。你应该做的另一件事是在默认情况下阻止插件播放。您可以通过右键单击随时运行它们，但不要让它们自动运行。一般来说，当你被病毒或恶意软件感染时，那是因为一些自动运行的隐形插件。

次要浏览器是只有在进行网上银行、网上购物或涉及信用卡号、账号或其他任何您想要保护的内容时才会启动的浏览器。一旦你启动了浏览器，进入并快速完成你需要做的事情，然后关闭浏览器。

如果你能设法将这两个世界分开，当你用你的主浏览器上网时，甚至不可能通过跨站请求伪造请求来入侵你的银行，因为这就像你从未登录过那家银行一样。因此，点击劫持、跨站请求伪造和跨站脚本编写几乎不会构成威胁，因为实际上没有跨站。

GN-N:您对Web开发人员有什么建议?

提单:我认为CSP(内容安全策略)和沙盒标签是很长一段时间以来对具有安全意识的Web开发人员来说最好的东西。

詹:当然，还建议Web开发人员特别注意输入验证、参数化SQL语句和输出过滤。这涵盖了大约90%的网站漏洞。

如果你与Facebook或微软的人交谈，你会发现他们通常都有用于打印屏幕的标准控件和库。推而广之，这意味着移除所有的非标准选项，其中一些可能是不安全的，所以人们别无选择，只能使用公司的标准版本。

我想另一件事是:永远不要尝试自己的加密货币。

GN-N:这是可靠的建议。如果你不是密码学家，不要在家里尝试。

相关文章
在queue.acm.org

构建安全的Web应用程序
乔治·v·内维尔·尼尔
http://queue.acm.org/detail.cfm?id=1281889

CTO圆桌会议:恶意软件防御概述
马谢Creeger
http://queue.acm.org/detail.cfm?id=1734092

Java安全体系结构回顾
巩俐
http://queue.acm.org/detail.cfm?id=2034639

数字图书馆是由计算机协会出版的。版权所有©2013 ACM, Inc.

---

没有找到条目