“接下来,”Baker继续道,“如果你要发送敏感信息给这些移动应用程序,需要确保加密了数据的传输。如果这些数据留存在移动设备里,需要确保留存数据被加密,这样才能保证公司资产在这些设备上的安全。”
保持这些数据在企业的监控下也很困难。不能期望员工一直谨慎使用他们自己的设备,并且只下载公司授权的应用。这些设备里,个人和业务的混合使用给保证移动应用安全的开发人员带来了全新的挑战。”大家可能在这些包含敏感信息的移动设备上安装工作相关的应用程序,并且他们想要安装不被公司控制的个人应用,”Baker说。“可能可以使用类似容器技术的隔离技术,并且在移动应用里构建策略来阻止类似拷贝/粘贴或者转发到域外的操作。”这些是移动应用程序员面临的一些挑战,而开发台式机应用程序时完全无需考虑到这些。
开发人员是否需从之前的错误中吸取教训?
Cornell一针见血——开发人员和商务人员必须意识到一些安全问题可能会发生。“我们已经意识到移动系统里,特别是从安全性角度来看,开发团队在犯一些很久以来就一直存在的错误,”他说。“我们一开始在Web应用程序里看到这些错误。例如需要登录的管理功能通常没有被很好地保护(比如管理员目录,大家都嫌烦,而设置成无需密码登录)。”
随着时间的流逝,开发人员也意识到了这些问题。但是随着AJAX应用的兴起,安全性问题又日益严重,因为服务无需做认证或者授权检查 -- 自然企业又不得不自尝恶果。历史总是在不断重演。“移动应用出现后,支撑应用的服务之前都没有接受到过任何恶意流量,”Cornell说。“他们只从授权的移动客户端接收请求。当开始攻击这些服务的时候,它们自然迅速沦陷了。或者,如果尝试将这些服务的标识符增加时,你就会发现这些服务根本就没有考虑到授权或者认证。这是开发团队之前就犯过的错误,现在在新的上下文环境里又重新犯错了。”
但是Cornell承认企业级开发团队学习速度很快。“他们正在学习如何进行移动开发,同时如何保证移动开发的安全性。”但愿他们能够通过对过去发生的错误的学习来避免问题,而不是需要在以后重新将这些问题再次经历一遍。当面对移动应用安全性问题时,企业已经意识到他们无法承受这方面的错误。
湘ICP备2022002427号-10 湘公网安备:43070202000427号
© 2013~2024 haote.com 好特网