本月初,安全研究員 Ivan Rodriguez 提出了 iOS 應用程序的新安全標準,並將其命名為 Security.plist 。它的靈感,來自於已經非常流行的 Security.txt 標準。其想法是,應用程序製造商需要創建一個名為 security.plist 的屬性列表文件,並將之嵌入到 iOS 應用程序的根目錄中。該文件將包含所有基本的信息,以便向開發者匯報安全漏洞。
(題圖 via ZDNet)
Rodriguez 表示,Security.plist 的想法,其實來自於 Security.txt 。作為網站上的一個類似標準,其最早在 2017 年被提出。
Security.txt 目前正在互聯網工程任務組(IETF)的帶動下展開標準化制定工作,但已經被業界廣泛採用,並且得到了Google、Github、LinkedIn 和 Facebook 等科技巨頭的支持。
分析網站安全的研究人員,能夠通過一種輕松的方式,與站方取得聯系。
實際上,Rodriguez 本身就是一位利用業余時間來查找 iOS 應用程序漏洞的研究人員。之所以決定向 iOS App 開發者提出類似的倡議,與它此前的經歷有很大關系。
我大部分時間,都是在 App 中閒逛,從而發現了許多漏洞。但迄今為止,我還沒有找到一種可以輕松找到相關責任人和正確披露渠道的簡便方法。
通常情況下,我必須撰寫一封郵件,發送到類似 [email protected] 企業郵箱,或在官網聯系頁面填寫表格。
遺憾的是,這些渠道中的大多數,都是與不專業的商務或營銷人員對接。他們可能不知道如何應對,甚至不明白問題的嚴重程度。
為了解決這個痛點,Rodriguez 提議,大家不妨在應用程序根目錄中留下一份 plish 文檔,並在其中備注適當的聯系方式,以便輕松溝通和高效率地解決問題。
不過目前,他也只是提出了這個想法,並且希望聽取應用開發商的意見,而不是敦促蘋果立即下達死命令。
Rodriguez 向 ZDNet 表示:「目前我已經聽取了大量的反饋,可能許多人都與我有共鳴。盡管現在實施 security.plist 標準可能為時尚早,但我還是希望它在移動應用程序的部署上流行開來」。
鑒於蘋果在安全實踐方面一直做得很不錯,Rodriguez 沒有立即讓蘋果推廣 security.plist 的強制標準,畢竟實際執行起來也是一個麻煩。
不過為了促進發展,他還是專門為 security.plist 打造了一個網站。應用程序開發商可在其中創建一個基本文件,然後將之包含在自己的 App 中。
來源:cnBeta
