本月初,安全研究员 Ivan Rodriguez 提出了 iOS 应用程序的新安全标准,并将其命名为 Security.plist 。它的灵感,来自于已经非常流行的 Security.txt 标准。其想法是,应用程序制造商需要创建一个名为 security.plist 的属性列表文件,并将之嵌入到 iOS 应用程序的根目录中。该文件将包含所有基本的信息,以便向开发者汇报安全漏洞。
Rodriguez 表示,Security.plist 的想法,其实来自于 Security.txt 。作为网站上的一个类似标准,其最早在 2017 年被提出。
Security.txt 目前正在互联网工程任务组(IETF)的带动下展开标准化制定工作,但已经被业界广泛采用,并且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨头的支持。
分析网站安全的研究人员,能够通过一种轻松的方式,与站方取得联系。
实际上,Rodriguez 本身就是一位利用业余时间来查找 iOS 应用程序漏洞的研究人员。之所以决定向 iOS App 开发者提出类似的倡议,与它此前的经历有很大关系。
我大部分时间,都是在 App 中闲逛,从而发现了许多漏洞。但迄今为止,我还没有找到一种可以轻松找到相关责任人和正确披露渠道的简便方法。
通常情况下,我必须撰写一封邮件,发送到类似 info@company.com 企业邮箱,或在官网联系页面填写表格。
遗憾的是,这些渠道中的大多数,都是与不专业的商务或营销人员对接。他们可能不知道如何应对,甚至不明白问题的严重程度。
为了解决这个痛点,Rodriguez 提议,大家不妨在应用程序根目录中留下一份 plish 文档,并在其中备注适当的联系方式,以便轻松沟通和高效率地解决问题。
不过目前,他也只是提出了这个想法,并且希望听取应用开发商的意见,而不是敦促苹果立即下达死命令。
Rodriguez 向 ZDNet 表示:“目前我已经听取了大量的反馈,可能许多人都与我有共鸣。尽管现在实施 security.plist 标准可能为时尚早,但我还是希望它在移动应用程序的部署上流行开来”。
鉴于苹果在安全实践方面一直做得很不错,Rodriguez 没有立即让苹果推广 security.plist 的强制标准,毕竟实际执行起来也是一个麻烦。
不过为了促进发展,他还是专门为 security.plist 打造了一个网站。应用程序开发商可在其中创建一个基本文件,然后将之包含在自己的 App 中。
来源:cnBeta.COM
更多资讯
没有节操的黑客组织排行 看这些就对了
我不生产钱,但我是金钱的搬运工,你见过专门针对 ATM 机的黑客吗?有些黑客为了钱,有些黑客则是“爱国”,但别国很生气,你爱国可以,别朝我们国家的核工业伸出黑手啊!还有些黑客口味很重啊,保险、咨询、采矿、炼钢、零售、建筑公司……一个都不放过。
来源:雷锋网
详情链接:https://www.dbsec.cn/blog/article/5492.html
Google RCS 可与 iMessage 媲美 但目前仍是一场安全噩梦
作为市面上最受用户喜爱的消息传递服务之一,苹果 iMessage 算是立下了一个业界标杆。如果你已经购买了 iPhone、iPad、Mac,可以很方便地互通使用。与此同时,谷歌希望携手运营商、通过富通讯服务(RCS)来吸引更多用户,这显然依赖于 Android 的巨大市场占有率。遗憾的是,经过多年的发展,安全性仍是 Google RCS 的一个短板。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5493.html
美一加密货币研究员因涉嫌教授朝鲜以太坊相关知识被捕
据外媒报道 ,当地时间周五,纽约南区的联邦检察官宣布对一名加密货币研究人员提起刑事诉讼,称他在朝鲜介绍加密货币,这种行为被指违反了《国际紧急经济权力法》。据了解,36岁的Virgil Griffith是以太坊基金会的特别项目研究员,该基金会主要帮助领导以太坊区块链技术的发展。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5494.html
网信办新规:明年起,AI 造假音视频不得随意发布
近日,国家互联网信息办公室、文化和旅游部、国家广播电视总局联合印发了《网络音视频信息服务管理规定》(以下简称《规定》),自2020年1月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在促进网络音视频信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益。
来源:中国青年网
详情链接:https://www.dbsec.cn/blog/article/5495.html
(信息来源于网络,安华金和搜集整理)
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/industrynews/51431.html