▲資安一直都是軟體開發相當重要的一環,圖片來源: freepik
文/Brady Huang
開發者是不是資訊安全的敵人?
最近在旁聽台大密碼學與資訊安全的課程,課程規定要看 10 篇指定文獻並撰寫心得,以此當作修課成績的其中一個評分指標,但是因為我是旁聽生,我沒辦法交作業,於是我決定把自己作業的報告寫在 Medium,一方面是統整上課重點,另一方面這週讀的文獻分享出來,因為讀完一篇以後覺得其實內容還蠻實用也不會太艱澀難懂,其實當作故事聽一聽還蠻有趣的,但如果要直接看文獻,用字有些還是蠻艱澀的,所以很多小細節我都會刪除。
要解決的問題
一直以來,資安一直都是軟體開發 (Application Development) 相當重要的一環,之前,我們會對顧客行為做分析,這是因為他們把使用者 (user) 當作是資安問題的始作俑者,但是,我們覺得開發者 (developer) 才是資安問題需要解決的對象。
軟體使用流程可以分成三個角色,API (Application Programming Interface)開發者、App 開發者和使用者,現在的 App 開發者主要的任務就是把 API 提供的功能組裝起來,但是開發者不一定有資安相關的知識,因此,在使用 API 的同時,卻沒有辦法判別要選擇哪一種 API 會是比較安全的 (像是 AES 的加密模式),而且有些 API 文件並沒有寫得很清楚,所以我們想,如果把資安這份功能,移到 API 開發者上,是不是就解決了這個問題?
這問題有很重要嗎?
安全性的問題是一定要解決的,但是 App 開發者通常不了解資安的問題,這邊舉 4 個例子。
*same-origin policy 是指如果我想要跟後端要取資源,如果我們不是同個網域的話是不能存取的,也就是說,如果我的網域是 www.brady.com 是不能存取 www.paul.com 的資源,但是 www.brady.com/users 或是 www.brady.com/posts 是可以的。
提供的兩個稻草人*想法
*稻草人(straw-man)解法是指我把問題簡化或轉變成另一個問題,讓回答者更好回答或是反駁,有正面或負面的使用方式,這邊是正面的提出可能可以的解法。
結論
因為 App 開發者是負責 API 的組裝和呈現,關於資安的問題我們應該從更高層面下手,因為 App 開發者大部分不是資安專家,也就是說如果我們從基礎核心的 API 層面下手去解決資安的問題的話,可以把資安責任從 App 開發者中抽除,這樣不只可以降低 App 開發者的資安教育成本,也可以讓他們更專一的解決自己工作上需要處理的事情。
心得
這篇文章不得不說到我的感觸,因為我本身是功能傾向的開發者,有時候資安的問題是一個長期的效應,沒有辦法馬上給予開發者短期回饋,而我也不是資安專家,對於每一個功能需求背後的安全性並沒有直覺的了解,因此很容易忽略了資安的重要性。其中有一個質疑的點就是有些 API 開發者其實是 App 開發者來做的,也就是說如果 API 開發者自己也沒有資安觀念的話,其實做出來的 API 也是沒什麼安全性,但是文章中有提到他只會對很核心很通用的 API 進行增強,我認為如果由資安專家做個套件讓 API 開發者可以直接插入的話,就可以省下 API 開發者的負擔。
G. Wurster and P. C. van Oorschot, “The developer is the enemy,” in workshop on New security paradigms, 2008. & M. Green and M. Smith
這篇的立場跟 The Developer is the Enemy 的立場是一樣的,都是希望把資安的責任分層往 API 端放,只是上一篇是希望大家以資安實踐面心態上去想,把責任放在 API 端會比較好,畢竟開發者有可能就是破壞資安的人!而這篇的想法是以資安心態來說,其實開發者不想把損害系統,但是有時候因為粗心和缺乏相關知識而犯了跟使用者一樣的錯誤,是另外一篇文獻 Users are not the enemy 的延續。
要解決的問題
想要解決因為 App 開發者的資安知識缺乏而造成的系統漏洞,根據文獻發現,開發者在遇到一個資安問題的時候,其實跟使用者一樣不知所措或不明就裡,造成了資安問題的產生。
這問題有很重要嗎?
有很多發布的應用程式雖然有使用加密套件,但是並沒有正確使用,造成系統 DoS (Denial of Service)或資安漏洞,非正確使用的例子像是
提供加密 (crypto) API 的 10 個想法
結論
此篇文獻跟上一篇站在相同立場,並提出更多明確的 10 個方法希望資安領域的人應該要如果去解決和時間現在軟體領域遇到的問題。
心得
我覺得這篇比上一片容易看多了,用字比較淺顯易懂,他的想法也合理,把資安問題往更高層面去解決,然而怎麼去驗證或統一全部的 API 讓他們擁有資安相關的防範還是需要蠻多心力的。
Green and M. Smith, “Developers are Not the Enemy! The Need for Usable Security APIs,” IEEE Secur. Priv., vol. 14, no. 5, pp. 40–46, 2016.
※本文由 Brady Huang 授權勿任意轉載,原文《密碼學與資訊安全 — 學習筆記之一》