本月初,安全研究员 ivan rodriguez 提出了 ios 应用程序的新安全标准,并将其命名为 security.plist 。它的灵感,来自于已经非常流行的 security.txt 标准。其想法是,应用程序制造商需要创建一个名为 security.plist 的属性列表文件,并将之嵌入到 ios 应用程序的根目录中。该文件将包含所有基本的信息,以便向开发者汇报安全漏洞。
(题图 via zdnet)
rodriguez 表示,security.plist 的想法,其实来自于 security.txt 。作为网站上的一个类似标准,其最早在 2017 年被提出。
security.txt 目前正在互联网工程任务组(ietf)的带动下展开标准化制定工作,但已经被业界广泛采用,并且得到了谷歌、github、linkedin 和 facebook 等科技巨头的支持。
分析网站安全的研究人员,能够通过一种轻松的方式,与站方取得联系。
实际上,rodriguez 本身就是一位利用业余时间来查找 ios 应用程序漏洞的研究人员。之所以决定向 ios app 开发者提出类似的倡议,与它此前的经历有很大关系。
我大部分时间,都是在 app 中闲逛,从而发现了许多漏洞。但迄今为止,我还没有找到一种可以轻松找到相关责任人和正确披露渠道的简便方法。
通常情况下,我必须撰写一封邮件,发送到类似 info@company.com 企业邮箱,或在k8凯发棋牌官网联系页面填写表格。
遗憾的是,这些渠道中的大多数,都是与不专业的商务或营销人员对接。他们可能不知道如何应对,甚至不明白问题的严重程度。
为了解决这个痛点,rodriguez 提议,大家不妨在应用程序根目录中留下一份 plish 文档,并在其中备注适当的k8凯发棋牌的联系方式,以便轻松沟通和高效率地解决问题。
不过目前,他也只是提出了这个想法,并且希望听取应用开发商的意见,而不是敦促苹果立即下达死命令。
rodriguez 向 zdnet 表示:“目前我已经听取了大量的反馈,可能许多人都与我有共鸣。尽管现在实施 security.plist 标准可能为时尚早,但我还是希望它在移动应用程序的部署上流行开来”。
鉴于苹果在安全实践方面一直做得很不错,rodriguez 没有立即让苹果推广 security.plist 的强制标准,毕竟实际执行起来也是一个麻烦。
不过为了促进发展,他还是专门为 security.plist 打造了一个网站。应用程序开发商可在其中创建一个基本文件,然后将之包含在自己的 app 中。
试用申请