应用安全通向未来的几个做法分析
发布时间:2022-04-14 15:21:50 所属栏目:安全 来源:互联网
导读:当你与OWASP成员讨论的时候,他们都认同这样一个观点:应用安全还有十年就发展成型了,特别是在政府层面上。 问:关于使用Web2.0企业***的问题在哪以及***的安全威胁是什么? 答:是的,Web2.0的形式其实与云计算差不多。其中***的挑战就是我们如何对二者进
|
当你与OWASP成员讨论的时候,他们都认同这样一个观点:应用安全还有十年就发展成型了,特别是在政府层面上。 问:关于使用Web2.0企业***的问题在哪以及***的安全威胁是什么? 答:是的,“Web2.0”的形式其实与“云计算”差不多。其中***的挑战就是我们如何对二者进行定义。“Web2.0”会涉及到编程技术,会导致浏览器插件的增多,以及与富网络应用相关的客户端技术本身已经越来越多的成为漏洞的共享者。同样,也会涉及到应用的合作和了解,例如内部WiKi和博客。其中的危机(特别是在WiKi上)是你几乎不能对用户生成的内容有任何控制权。如果这样的WIKI对于整个公司的人都开放的话,那么你就会看到公司里面的任何一个人的做法,看到他们在发送机密和不合适的内容。现在,如果提到“Web2.0”,首先意味着社交网络应用,然后威胁就随着而来了。你会发现,尽管你知道这些应用在过去很长时间都以“不安全”着称,并且因蠕虫等不好的问题而臭名昭着,但是这些应用在破坏你的在线名誉上都有很大的潜力。 问:一些OWASP成员认为政府的应用安全还有十年就会发展成熟了。请您谈论一下,为什么某种意义上来说联邦政府需要更加了解Web2.0,与私营部门相比,其危险的独特性在哪里? 答:我认为在理解上最重要的是,来自政府的信息是必须被信任的,因为一个新兴的Web应用日渐流行并不意味着对于所有的政府用途是合适的媒介。从网络安全的角度来看,这些应用的托管本质就意味着挑战。人们通过这些应用来交换部门或机构的信息,不能用常见的安全程序管理这些应用。除了密码以外你没有其他的方式来控制系统,简言之就是你甚至不知道密码是否被保存完好。你没有托管数据中心,完全不能控制操作系统的安全、应用安全、网络防御,不能做出及时的回应,你不能进行任何辩论。这就是零控制。 当然,理论上讲这种风险是很低的,因为无论如何这些应用都是通过大众传播的。我最近读到了一个关于这个主题的分析,当讨论威胁的时候,他提到一些东西会起到影响的作用,但是完整性起到的作用并不大,因为这是一个公共的系统,但是我不太同意他的观点。如果你像美国政府一样正在使用这样的网站来进行信息的交流的话,那么这些信息的完整性是极为重要的。对手在其中一个应用中找到漏洞是完全有可能的。你只能在恰当的时候在错误信息方面使用它,或者在进行一场心理战役的时候使用它。想象一下,所有的人从不同的机构获取信息到他们的手机上。现在想象一下,在一场国家灾难中这些信息突然变成虚假信息。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐