iOS 應用程式有望從新提議的 Security.plist 標準中受益
本月初,安全研究員 Ivan Rodriguez 提出了 iOS 應用程式的新安全標準,並將其命名為 Security.plist 。它的靈感,來自於已經非常流行的 Security.txt 標準。其想法是,應用程式製造商需要建立一個名為 security.plist 的屬性列表檔案,並將之嵌入到 iOS 應用程式的根目錄中。該檔案將包含所有基本的資訊,以便向開發者彙報安全漏洞。
Rodriguez 表示,Security.plist 的想法,其實來自於 Security.txt 。作為網站上的一個類似標準,其最早在 2017 年被提出。
Security.txt 目前正在網際網路工程任務組(IETF)的帶動下展開標準化制定工作,但已經被業界廣泛採用,並且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨頭的支援。
分析網站安全的研究人員,能夠通過一種輕鬆的方式,與站方取得聯絡。
實際上,Rodriguez 本身就是一位利用業餘時間來查詢 iOS 應用程式漏洞的研究人員。之所以決定向 iOS App 開發者提出類似的倡議,與它此前的經歷有很大關係。
我大部分時間,都是在 App 中閒逛,從而發現了許多漏洞。但迄今為止,我還沒有找到一種可以輕鬆找到相關責任人和正確披露渠道的簡便方法。
通常情況下,我必須撰寫一封郵件,傳送到類似 info@company.com 企業郵箱,或在官網聯絡頁面填寫表格。
遺憾的是,這些渠道中的大多數,都是與不專業的商務或營銷人員對接。他們可能不知道如何應對,甚至不明白問題的嚴重程度。
為了解決這個痛點,Rodriguez 提議,大家不妨在應用程式根目錄中留下一份 plish 文件,並在其中備註適當的聯絡方式,以便輕鬆溝通和高效率地解決問題。
不過目前,他也只是提出了這個想法,並且希望聽取應用開發商的意見,而不是敦促蘋果立即下達死命令。
Rodriguez 向 ZDNet 表示:“目前我已經聽取了大量的反饋,可能許多人都與我有共鳴。儘管現在實施 security.plist 標準可能為時尚早,但我還是希望它在移動應用程式的部署上流行開來”。
鑑於蘋果在安全實踐方面一直做得很不錯,Rodriguez 沒有立即讓蘋果推廣 security.plist 的強制標準,畢竟實際執行起來也是一個麻煩。
不過為了促進發展,他還是專門為 security.plist 打造了一個網站。應用程式開發商可在其中建立一個基本檔案,然後將之包含在自己的 App 中。
來源:cnBeta.COM
更多資訊
沒有節操的黑客組織排行 看這些就對了
我不生產錢,但我是金錢的搬運工,你見過專門針對 ATM 機的黑客嗎?有些黑客為了錢,有些黑客則是“愛國”,但別國很生氣,你愛國可以,別朝我們國家的核工業伸出黑手啊!還有些黑客口味很重啊,保險、諮詢、採礦、鍊鋼、零售、建築公司……一個都不放過。
來源:雷鋒網
詳情連結:https://www.dbsec.cn/blog/article/5492.html
Google RCS 可與 iMessage 媲美 但目前仍是一場安全噩夢
作為市面上最受使用者喜愛的訊息傳遞服務之一,蘋果 iMessage 算是立下了一個業界標杆。如果你已經購買了 iPhone、iPad、Mac,可以很方便地互通使用。與此同時,谷歌希望攜手運營商、通過富通訊服務(RCS)來吸引更多使用者,這顯然依賴於 Android 的巨大市場佔有率。遺憾的是,經過多年的發展,安全性仍是 Google RCS 的一個短板。
來源:cnBeta.COM
詳情連結:https://www.dbsec.cn/blog/article/5493.html
美一加密貨幣研究員因涉嫌教授朝鮮以太坊相關知識被捕
據外媒報導 ,當地時間週五,紐約南區的聯邦檢察官宣佈對一名加密貨幣研究人員提起刑事訴訟,稱他在朝鮮介紹加密貨幣,這種行為被指違反了《國際緊急經濟權力法》。據瞭解,36歲的Virgil Griffith是以太坊基金會的特別專案研究員,該基金會主要幫助領導以太坊區塊鏈技術的發展。
來源:cnBeta.COM
詳情連結:https://www.dbsec.cn/blog/article/5494.html
網信辦新規:明年起,AI 造假音視訊不得隨意釋出
近日,國家網際網路資訊辦公室、文化和旅遊部、國家廣播電視總局聯合印發了《網路音視訊資訊服務管理規定》(以下簡稱《規定》),自2020年1月1日起施行。國家網際網路資訊辦公室有關負責人表示,出臺《規定》,旨在促進網路音視訊資訊服務健康有序發展,保護公民、法人和其他組織的合法權益,維護國家安全和公共利益。
來源:中國青年網
詳情連結:https://www.dbsec.cn/blog/article/5495.html
(資訊來源於網路,安華金和蒐集整理)
訂閱“Linux 中國”官方小程式來檢視
相關文章
- [提問交流]ThinkPHP 框架執行應用的標準流程分析PHP框架
- 從Swift3的標準庫協議看面向協議程式設計(一)Swift協議程式設計
- 從字典網看未來雲應用標準
- SOA技術標準的應用
- 我從55個Swift標準庫協議中學到了什麼?Swift協議
- SQL Server建立應用程式角色與標準角色SQLServer
- 擁抱開源,從中受益
- ERP中標準成本的七項應用原則(轉)
- RSocket一種新的響應式應用新協議協議
- SSS 2.3根據記錄的評估標準評估提議的解決方案,並選擇供應商
- 各角色如何從DevOps中受益?dev
- Web新標準Web
- 標準庫在ios上運用問題iOS
- 選擇低程式碼應用程式開發框架的5個關鍵標準框架
- APICloud劉鑫:從小程式和蘋果的生態探究應用開發者生態五大標準APICloud蘋果
- 從標準輸入流中讀取資料
- iOS應用程式中UITableView的效能優化(最全面)iOSUIView優化
- [轉載]ABAP中查詢程式碼的標準程式
- 有哪些讓程式設計師受益終生的建議程式設計師
- JDK新提議:新增Record記錄的"with"表示式JDK
- Thunk程式的實現原理以及在iOS中的應用iOS
- 成功推廣iOS應用的10個建議iOS
- 如何從豐田生產系統的原則中受益?
- WiFi WPA3標準中發現新的Dragonblood漏洞WiFiGo
- WAPI有望晉身國際標準最大阻力美國首度支援API
- 如何開發一個標準的雲原生應用?
- 驅動中如何給ring3層應用程式提權
- 新車提車注意事項準備工作
- [蘋果]蘋果AppStore應用稽核標準蘋果APP
- 推行標準化應用,改善業務環境
- 硬性測試標準過時?Voodoo採用新的發行KPI指標OdooKPI指標
- 用VB編寫標準CGI程式 (轉)
- 組合式應用新利器?SaaS新時代事件網格如何解決整合標準化問題事件
- Thunk程式的實現原理以及在iOS中的應用(二)iOS
- 提效新紀元-元件化開發在轉轉App中的應用-後端篇元件化APP後端
- 2.3 應用程式容器中的應用程式概述
- 【快應用】十大手機廠商共推快應用標準
- 如何定製化Fiori標準應用裡UI欄位的標籤UI