沙盒
現(xiàn)代移動和瀏覽器平臺都利用不同的沙盒技術(shù)來隔離應(yīng)用程序和網(wǎng)站及其內(nèi)容(參見操作系統(tǒng)和虛擬化CyBOK知識領(lǐng)域[3])[37,38]。這也旨在保護(hù)平臺免受惡意應(yīng)用程序和站點的侵害。主要的網(wǎng)絡(luò)瀏覽器(例如谷歌瀏覽器[39])和移動平臺(例如Android[40])在操作系統(tǒng)進(jìn)程級別實現(xiàn)隔離。每個應(yīng)用程序或網(wǎng)站都在自己的進(jìn)程中運(yùn)行2.默認(rèn)情況下,隔離的進(jìn)程無法相互交互,也無法共享資源。在瀏覽器中,站點隔離作為同源策略的擴(kuò)展的第二道防線(參見第2.4.2節(jié))。
應(yīng)用程序隔離
現(xiàn)代移動平臺為每個應(yīng)用程序提供在專用進(jìn)程中運(yùn)行的沙箱和自己的文件系統(tǒng)存儲。移動平臺利用底層操作系統(tǒng)進(jìn)程保護(hù)機(jī)制進(jìn)行應(yīng)用程序資源識別和隔離。例如,Android[40]中的應(yīng)用程序沙箱是在內(nèi)核級別設(shè)置的。安全性通過標(biāo)準(zhǔn)操作系統(tǒng)設(shè)施(包括用戶和組ID以及安全上下文)強(qiáng)制實施。默認(rèn)情況下,沙盒阻止應(yīng)用程序相互訪問,并且僅允許對操作系統(tǒng)資源的有限訪問。若要訪問受保護(hù)的應(yīng)用和操作系統(tǒng)資源,需要通過受控接口進(jìn)行應(yīng)用間通信。
內(nèi)容隔離
內(nèi)容隔離是現(xiàn)代瀏覽器中的主要安全保證之一。主要思想是根據(jù)文檔的來源隔離文檔,以便它們不會相互干擾。同源策略(SOP)[41]于1995年引入,影響JAVAScript及其與文檔的DOM的交互,網(wǎng)絡(luò)請求和本地存儲(例如,餅干)。SOP背后的核心思想是,如果文檔主機(jī)之間完全匹配,則只允許兩個單獨的JavaScript執(zhí)行上下文操作文檔的DOM。以及協(xié)議、DNS名稱和端口號3。不允許跨源操作請求。表2說明了示例SOP驗證結(jié)果。與JavaScript-DOM交互類似,SOP將JavaScript XMLHttpRequest 功能限制為僅向宿主文檔的來源發(fā)出HTTP請求。
SOP的一個主要缺陷是它依賴于DNS而不是IP地址。因此,可以故意更改DNS條目的IP地址的攻擊者可以繞過SOP安全保證。
由于執(zhí)行同源策略的代碼偶爾會包含安全漏洞,因此現(xiàn)代瀏覽器引入了第二道防線:網(wǎng)站以自己的方式呈現(xiàn)。在沙盒中運(yùn)行的進(jìn)程。沙盒網(wǎng)站旨在防止諸如竊取跨站點cookie和保存的密碼之類的攻擊[42]。
實施同源策略和提高Web應(yīng)用程序安全性的另一個附加防御層是內(nèi)容安全策略(CSP)機(jī)制[43]。CSP主要用于防止代碼注入攻擊,例如XSS(參見第4.1節(jié)),這些攻擊利用瀏覽器對Web服務(wù)器發(fā)送的內(nèi)容的信任。這允許在客戶端的瀏覽器中執(zhí)行惡意腳本。CSP允許Web開發(fā)人員和服務(wù)器運(yùn)營商限制瀏覽器應(yīng)被視為可信內(nèi)容源的源數(shù)量-包括可執(zhí)行代碼和媒體信息。可以使用CSP,以便服務(wù)器可以在客戶端上全局禁用代碼執(zhí)行。要啟用CSP,開發(fā)人員或操作員可以將Web服務(wù)器配置為發(fā)送內(nèi)容安全策略HTTP響應(yīng)標(biāo)頭或向網(wǎng)站添加html<meta>標(biāo)記。兼容的瀏覽器將僅執(zhí)行代碼或從受信任的來源加載媒體文件。
|
示例:內(nèi)容安全策略標(biāo)頭以下 CSP 允許Web 應(yīng)用程序的用戶包含來自任何源的圖像,但將媒體數(shù)據(jù)(音頻或視頻媒體)限制為受信任的 tRusted-media.com域。此外,腳本僅限于Web 開發(fā)人員信任的 trusted-scripts.com 源: Content-Security-Policy: default-src ’self’; img-src *; media-src trusted-media.com; script-src trusted-scripts.com |
