首頁>Club>

對於iOS應用開發者來說,新提議的security.plist有著怎樣的意義?

4
回覆列表
  • 1 # cnBeta

    本月初,安全研究員 Ivan Rodriguez 提出了 iOS 應用程式的新安全標準,並將其命名為 Security.plist 。

    其想法是,應用程式製造商需要建立一個名為 security.plist 的屬性列表檔案,並將之嵌入到 iOS 應用程式的根目錄中。

    它的靈感,來自於已經非常流行的 Security.txt 標準。該檔案將包含所有基本的資訊,以便向開發者彙報安全漏洞。

    (題圖 via ZDNet)

    Rodriguez 表示,Security.plist 的想法,其實來自於 Security.txt 。作為網站上的一個類似標準,其最早在 2017 年被提出。

    Security.txt 目前正在網際網路工程任務組(IETF)的帶動下展開標準化制定工作,但已經被業界廣泛採用,並且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨頭的支援。

    分析網站安全的研究人員,能夠透過一種輕鬆的方式,與站方取得聯絡。

    實際上,Rodriguez 本身就是一位利用業餘時間來查詢 iOS 應用程式漏洞的研究人員。之所以決定向 iOS App 開發者提出類似的倡議,與它此前的經歷有很大關係。

    我大部分時間,都是在 App 中閒逛,從而發現了許多漏洞。但迄今為止,我還沒有找到一種可以輕鬆找到相關責任人和正確披露渠道的簡便方法。

    通常情況下,我必須撰寫一封郵件,傳送到類似 [email protected] 企業郵箱,或在官網聯絡頁面填寫表格。

    遺憾的是,這些渠道中的大多數,都是與不專業的商務或營銷人員對接。他們可能不知道如何應對,甚至不明白問題的嚴重程度。

    為了解決這個痛點,Rodriguez 提議,大家不妨在應用程式根目錄中留下一份 plish 文件,並在其中備註適當的聯絡方式,以便輕鬆溝通和高效率地解決問題。

    不過目前,他也只是提出了這個想法,並且希望聽取應用開發商的意見,而不是敦促蘋果立即下達死命令。

    Rodriguez 向 ZDNet 表示:“目前我已經聽取了大量的反饋,可能許多人都與我有共鳴。儘管現在實施 security.plist 標準可能為時尚早,但我還是希望它在移動應用程式的部署上流行開來”。

    鑑於蘋果在安全實踐方面一直做得很不錯,Rodriguez 沒有立即讓蘋果推廣 security.plist 的強制標準,畢竟實際執行起來也是一個麻煩。

    不過為了促進發展,他還是專門為 security.plist 打造了一個網站。應用程式開發商可在其中建立一個基本檔案,然後將之包含在自己的 App 中。

  • 2 # 青松說影片

    本月初,安全研究員 Ivan Rodriguez 提出了 iOS 應用程式的新安全標準,並將其命名為 Security.plist 。它的靈感,來自於已經非常流行的 Security.txt 標準。其想法是,應用程式製造商需要建立一個名為 security.plist 的屬性列表檔案,並將之嵌入到 iOS 應用程式的根目錄中。該檔案將包含所有基本的資訊,以便向開發者彙報安全漏洞。

    (題圖 via ZDNet)

    Rodriguez 表示,Security.plist 的想法,其實來自於 Security.txt 。作為網站上的一個類似標準,其最早在 2017 年被提出。

    Security.txt 目前正在網際網路工程任務組(IETF)的帶動下展開標準化制定工作,但已經被業界廣泛採用,並且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨頭的支援。

    分析網站安全的研究人員,能夠透過一種輕鬆的方式,與站方取得聯絡。

    實際上,Rodriguez 本身就是一位利用業餘時間來查詢 iOS 應用程式漏洞的研究人員。之所以決定向 iOS App 開發者提出類似的倡議,與它此前的經歷有很大關係。

    我大部分時間,都是在 App 中閒逛,從而發現了許多漏洞。但迄今為止,我還沒有找到一種可以輕鬆找到相關責任人和正確披露渠道的簡便方法。

    通常情況下,我必須撰寫一封郵件,傳送到類似 [email protected] 企業郵箱,或在官網聯絡頁面填寫表格。

    遺憾的是,這些渠道中的大多數,都是與不專業的商務或營銷人員對接。他們可能不知道如何應對,甚至不明白問題的嚴重程度。

    為了解決這個痛點,Rodriguez 提議,大家不妨在應用程式根目錄中留下一份 plish 文件,並在其中備註適當的聯絡方式,以便輕鬆溝通和高效率地解決問題。

    不過目前,他也只是提出了這個想法,並且希望聽取應用開發商的意見,而不是敦促蘋果立即下達死命令。

    Rodriguez 向 ZDNet 表示:“目前我已經聽取了大量的反饋,可能許多人都與我有共鳴。儘管現在實施 security.plist 標準可能為時尚早,但我還是希望它在移動應用程式的部署上流行開來”。

    鑑於蘋果在安全實踐方面一直做得很不錯,Rodriguez 沒有立即讓蘋果推廣 security.plist 的強制標準,畢竟實際執行起來也是一個麻煩。

    不過為了促進發展,他還是專門為 security.plist 打造了一個網站。應用程式開發商可在其中建立一個基本檔案,然後將之包含在自己的 App 中。

  • 中秋節和大豐收的關聯?
  • 百米加減檔具體的步驟是什麼?