首页 >> 全民娱乐 > " class="CurrChnlCls">全民娱乐 >  >> 正文

预计iOS应用程序将受益于新提出的Security.plist标准

来源:网洛 时间:{inputtime}

本月早些时候,安全研究员ivanrodriguez为iOS应用程序提出了一种新的安全标准,并将其命名为security.plist。它受到了已经非常流行的security.txt标准的启发。其想法是,应用程序制造商需要创建一个名为security.plist的属性列表文件,并将其嵌入到IOS应用程序的根目录中。该文件将包含向开发人员报告安全漏洞的所有基本信息。

Security.txt目前正致力于由互联网工程任务组(IETF)推动的标准化工作,但已被业界广泛采用,并得到了谷歌(Google)、GitHub、LinkedIn和Facebook等科技巨头的支持。

分析网站安全性的研究人员可以轻松地与网站取得联系。

事实上,罗德里格斯本身就是一名研究人员,他利用业余时间发现iOS应用程序中的漏洞。向iosapp开发者提出类似计划的决定,在很大程度上与它以前的经历有关。

大部分时间,我大部分时间都花在应用程序上,我发现了很多漏洞。但到目前为止,我还没有找到一个容易找到负责人的方法,也没有找到正确的披露渠道。

通常,我必须写一封电子邮件,发送到企业电子邮件,比如info@company.com,或者在官方网站联系页面上填写表格。

不幸的是,这些渠道大多与不专业的企业或营销人员联系在一起。他们可能不知道如何处理,甚至不知道问题的严重程度。

为了解决这个问题,Rodriguez建议您最好在应用程序根目录中留下一个平淡的文档,并记下适当的联系信息,以便轻松地进行交流并有效地解决问题。

然而,就目前而言,他只是想出这个主意,想听听应用开发者的意见,而不是敦促苹果立即下达死亡令。

罗德里格斯对ZDNet说:到目前为止,我已经听到了很多反馈,也许有很多人会和我产生共鸣。尽管现在实现Secity.plist标准可能还为时过早,但我仍然希望它在移动应用程序的部署中变得流行起来。

鉴于苹果在安全实践中做得很好,罗德里格斯没有立即要求苹果促进安全。毕竟,强制性标准的实际实施也是一个问题。

但为了促进发展,他为security.plist创建了一个网站。应用程序开发人员可以在其中创建一个基本文件,然后将其包含在自己的应用程序中。

上一篇: 第三方设备和设备也可以吃掉iOS苹果愤怒的起诉
下一篇: 最后一页