QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

Windows 应用商店中应用的安全

  • 2012-12-06
  • 本文字数:1307 字

    阅读完需:约 4 分钟

在过去,有一个设想,仅仅流行的应用和服务才会被攻击。但是最近,即使是很少人用甚至无人问津服务,也很容易地受到黑客的仔细研究。在最近一次的 Microsoft Build 会议上, Josh Dunn 讨论了一些在 Windows 8 应用中发现的常见漏洞。

避免乐观的错误

Windows 8 应用中,一个主要的漏洞来自不正确的使用 MSApp 类的 execUnsafeLocalFunction 方法。该功能在应用中禁止了脚本注入验证的规则,使应用与展现客户信息的网站面对相同的漏洞。

当结合了过度的应用许可后,脚本注入是特别让人不愉快的事情。例如:假设某个应用具有访问用户图片库的能力。一旦黑客注入了脚本,那么,脚本也同样具有获取访问该图片库的权限。

虽然看上去是显而易见的,但是 eval 函数却是另一个能够将漏洞引入到应用中的危险功能。所以,一般情况下,微软劝告开发者,避免在程序中使用 eval 函数和带有 unsafe 关键字的功能代码。

使用 javascript 库时,需要特别当心。浏览器中使用安全的库,在 windows 8 应用中使用,却不一定是安全的。 WinJS 推荐使用 WinJS,因为 microsoft 将它特别设计为 “缺省安全的”。我们假设,随着时间的推移其它库将都采纳这一做法。

另一个减少问题的方式是减少应用可注册的能力。在许多情况下,应用实际上不需要使用一些能力。比如:应用无需使用“Documents”(Windows.UI.Xaml.Documents)组件加载并保存文档,当你仅仅使用它,在应用中为了一个特殊的文件类型将要扫描库时。

一个于此相关的问题是对文件扩展名的不必要的注册,一个常见的错误是,因为应用将一些数据存储在文本文件中,就将此应用注册成文本文件处理器。这导致的结果是,每当打开一个文本文件时,该应用就会被放进可启动的应用程序列表之中。这里的区别是“使用”文本文件和“处理”文本文件的能力。

其他开发者可能误开启的能力,如企业认证和共享用户证书。企业认证应当仅在企业内部应用访问域资源时使用。它使应用代表用户。共享用户证书是针对硬件证书和智能卡的。

处理客户数据的责任

当向用户请求数据时,,重要的是从一开始就要建立信任关系。一部分是要确切地告诉用户,要收集什么样的数据,为什么要收集,用户如何退出正在进行的数据收集。应用程序应尽可能在无需私人身份信息的情况下工作。

在传输私人身份信息(PII)时,总是使用安全的连接。若允许信息以非加密的方式显现在 URL 中,就会导致许多问题。或者,更好的做法是,避免收集个人信息,比如序列号和 IP 地址。

规避这一问题的一种方式是使用 GetPackageSpecificToken 方法。该令牌对于每一个应用 / 硬件对是唯一的,它可使你的应用在不使用任何个人身份信息的情况下识别给定的设备。不好的方面是,当多个应用一起工作时,它们需要一种将各自的令牌连接起来的方法。

当使用用户名口令模式工作时,要设法确保将它们存储在安全凭证存储器中 ( Windows.Security.Credentials ) 中,而不是文件或者应用环境中。

查看英文原文 http://www.infoq.com/news/2012/10/Win8-App-Security


感谢马国耀对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2012-12-06 08:031548

评论

发布
暂无评论
发现更多内容

架构师训练营 Week 01 学习总结

Kun

极客大学架构师训练营

架构师训练营第0期-第1周-作业一

极客大学架构师训练营

就餐卡系统设计

平淡人生

极客大学架构师训练营

什么叫架构师

平淡人生

极客大学架构师训练营

编译运行Zookeeper源码

CoderLi

Java zookeeper 程序员 源码分析 后端

食堂就餐卡系统设计(第一周)

食堂就餐卡系统架构视图

梅子黄时雨

极客大学架构师训练营

食堂就餐卡系统设计

八两

聊聊架构师

Jerry Tse

随笔杂谈 极客大学架构师训练营 作业

食堂就餐卡系统架构设计

~就这样~

架构师训练营第01周——UML练习

李伟

极客大学架构师训练营

就餐卡设计文档

chengjing

就餐卡系统(时间太紧张,阅读了很多,我转载的这篇)

王锟

架构师训练营第0期-第1周-作业二

极客大学架构师训练营

架构文档编写

清风明月

【第一周】学习总结——架构方法、软件建模与设计文档

三尾鱼

极客大学架构师训练营

架构师训练营-学习总结

~就这样~

作业1:食堂就餐卡系统设计(UML)

蒜泥精英

架构师训练营-食堂就餐卡系统设计

彭灵俊

极客大学架构师训练营

第一节课的总结

王锟

食堂就餐卡系统设计

Acker飏

极客大学架构师训练营

第 1 周食堂就餐卡系统设计

陆不得

作业一:食堂就餐卡系统设计

独孤魂

极客大学架构师训练营

第一课 架构师的自我修养

Geek_bobo

就餐卡系统架构设计

祝好

实例学习绘画UML图

张瑞浩

第一次课作业

lai

作业2-学习心得

蒜泥精英

Lesson 1 架构师如何做架构 心得笔记

edd

编程好习惯 极客大学架构师训练营 架构总结

关于架构师这个角色的感悟

祝好

我不想做一个架构师

彭灵俊

极客大学架构师训练营

Windows应用商店中应用的安全_语言 & 开发_Jonathan Allen_InfoQ精选文章