新闻资讯NEWS

在Mozilla,打破了安全措施

发表时间:2019-09-10 10:07:38  作者:jomoo  来源:jomoo  浏览量:559
         安全主管Window Snyder解释了她的组织

老铁牛牛Window Snyder,Mozilla的主要安全性或其他(她的官方头衔),希望将开源实践带给安全社区。 “在许多公司,”她最近告诉我,“人们担心安全问题:你不想谈论你在安全方面所做的事情,因为人们可能认为这还不够 - 或者可能想批评它。 “她说,大多数公司都有很多理由要保持你在安全方面做得很安静,而不是Mozilla。 “我们受益于开放;它是我们的榜样,它对我们来说是成功的。” Snyder在@Stake开始她的安全工作(现在是赛门铁克的一部分)然后去了微软和后来的Matasano Security。她描述了她在每个环境中走向开源的过程。在流行的Firefox浏览器,Thunderbird电子邮件客户端和其他开放软件的制造商Mozilla,她几乎处于零基础。 斯奈德说,开放安全的想法是通过问:“我们在内部做什么,我们可以公开提供帮助其他项目的其他人。” 他们决定从小开始。 “我们开始使用C和C的安全程序和实践。重点是如何使它对浏览器有用,但当然有一个普遍的方面。它是培训材料,它是教学大纲,练习,这是一个研讨会式的课程。希望我们也能够制作视频。“我们的想法是,一家公司的员工可以参加这些研讨会,然后将培训带回家培训更多人。 Mozilla的Johnathan Nightingale回应了这一点。 “如果只有一个人是安全人员或者gal总能解决问题,那就非常脆弱了。最好把这些知识带到那里 - 无论是在Mozilla还是其他项目上工作。通过努力了解好习惯和不良习惯,你已经迈出了一大步。“ 除了培训课程,Mozilla还将提供各种工具。去年,Mozilla发布了由Michael Eddington创建的协议模糊器,以及由Jesse Ruderman创建的Javascript模糊器。此外,Mozilla承认这些工具在Firefox中发现了漏洞。接受这种开放性后,Opera报告称这些工具还发现了其浏览热门棋牌器产品中的缺陷。微软是Internet Explorer的制造商,也是Safari的制造商,尚未透露他们是否使用该工具来检测其产品中的任何缺陷。 Snyder经常说安全故事不是公司创建了一个工具,它在自己的产品中发现了14个漏洞,而且产品中首先存在14个漏洞。 “他们为什么要分享这个工具?也许他们想要证明它是多么成功,因为它发现了一个漏洞。这是我们可以做的事情,其他公司不能。” 除了培训和工具之外,Mozilla还希望更多地讨论安全指标和威胁建模。 在此视频中,Window Snyder讨论了安全指标。 “威胁建模是一种识别安全漏洞的方法,用于识别该应用程序中安全漏洞的风险,”Snyder说。 “制作威胁模型可以显示其他开发环境如何将像Firefox这样的复杂应用程序解构为威胁,以及我们为解决这些特定威胁而实施的缓解措施。 “但它也让我们得到关于是否或缓解是否足够的反馈。它让研究社区参与了开发过程中的另一个点。而不是在生命周期结束时寻找漏洞,他们能够参与威胁理想情况下,设计和实现之间的建模过程。您希望能够在过程中尽早完成,以便您可以在威胁建模的结构层面实际更改。“ 她说,目标是删除所有类别的漏洞。 “这是一种模式,如果我们实施一个架构变更,我们就可以消除所有这些漏洞。” 威胁建模更具理论性;这是抽象的。 “所以,具体而言,如果你这样做,而另一件事,这将导致一个实际的漏洞,威胁建模,而不是说,没有输入验证机制,例如。如果你这样发送请求,你最终绕过输入验证机制,你发送内容,未经验证到这个音频解码器。这将是可怕的。所以威胁是未经验证的内容如果以这种方式直接传递给音频解码器。一个漏洞就是那里如果他们以这种方式制作URL,攻击者能够触发音频解码器中的溢出,并且因为它绕过了输入验证机制,所以这些其他可以保护免受攻击的机制也被绕过了。“ 她的结论是,培训,工具和威胁建模“对同行评审有好处,有利于牛牛无敌版
上一篇:索尼爱立信C905清除FCC 下一篇:公司下注时间