基于web的服务正在以令人眩目的速度取代传统的桌面软件,在这个过程中接管了tb级的个人数据。无限的电子邮件存储空间和web2.0风格的初创公司将进一步加速这一趋势。
然而,获得这些巨大而不可缺少的资源的途径通常是由少数几个以盈利为目的的大公司控制的。微软(Microsoft)、谷歌、雅虎(Yahoo)、美国在线(America Online)和其他领先公司已经基本建立起了世界大部分地区在日常生活中所依赖的服务——这实际上让它们成为了我们最敏感信息的守护者。
这就提出了一个显而易见的问题:这是个好主意吗?最令人不安的答案是,如果历史可以作为参考的话,我们可能没有太多的选择。
相对较新的在线应用程序正在努力解决安全问题。网络安全在它应该在的地方吗?它应该去哪里?
这在很多层面上都令人不安,但主要是因为这个行业在发展过程中基本上是在构建Web安全性。正如微软(Microsoft)、谷歌和雅虎(Yahoo)的安全高管所证实的那样,在很多情况下,这些公司都在将标准的桌面安全技术应用于新的Web应用程序。有时工作;有时它不。
网络安全专家SPI Dynamics的首席研究员比利•霍夫曼(Billy Hoffman)表示:“现在随时都可以在网上获得数据。”“这是一个很大的目标。”
Hoffman的工作是了解网络安全在哪里失效。在他看来,三大网站在安全方面做得相当不错,至少在服务器端是这样。不确定因素是,一旦数据离开Googleplex,通过网络传输,并缓存到用户的桌面上,数据会发生什么变化。
自1999年以来,90%以上的文件都是数字化制作的;超过42%的美国互联网用户拥有基于网络的银行服务;根据计算机服务公司CSC和其他来源的数据,每天有超过1600亿条电子邮件被发送。随着数据的堆积,保护服务器和桌面Web应用程序之间的数据流变得越来越困难,更不用说mashup和其他Web 2.0技术的额外复杂性了。与此同时, 袭击事件呈上升趋势 。
归根结底,我们正在进入一个未经探索的领域,越来越多的人依赖于越来越多的相对较新的应用程序,其中一些应用程序是用仍在发展的技术构建的,这些应用程序可以处理大量分散在全球多种服务器和网络上的个人数据。在这种令人生畏的背景下——以及对企业控制的担忧——要求某种独立监管的呼声是不可避免的。
“我们有关于安全实践的信息。这种脱节在于,我们没有一个中介机构,在你构建Web 2.0或其他应用程序时,告诉你这些东西如何适用于你。”霍夫曼说道。“会不会出现试图发布标准的非营利组织或其他组织?”可能。我们确实需要一个良好信息的中央信息交换所,因为那里有很多不好的信息。”
就连现在控制着大部分网络安全的公司的一些高管也说,需要更多的行业合作。
“安全最符合整个行业的利益,”“偏执的雅虎首席执行官”阿图罗·贝加尔(Arturo Bejar)说。“我们正在评估分享知识或工具的方式,以回馈社区。”
在政府不干预的情况下,一个似乎显而易见的做法是,采取某种形式的全行业合作,表面上是为了避免形成垄断或卡特尔。然而,这种方法说起来容易做起来难:以前在其他数字技术中已经尝试过很多次了,结果却以混乱收场,或者在主要利益相关者或利益相关方的实际控制之下告终。
总之,想想Windows。十多年的诉讼和纳税人数以百万计的钱并没有让微软放松对操作系统的控制。全世界90%以上的个人电脑用户每天都在使用微软的操作系统。
在网络出现的早期,一个叫做万维网联盟的非营利性机构诞生了,它的诞生源于利他主义的理念,即所有利益相关方都可以为了媒介的利益进行合作和妥协。所谓的W3C在定义不存在的Web标准方面做得很好,它在互联网的蛮荒西部的起源中充当了一个受信任的权威。与此同时,W3C的大部分活动都集中在由公司定义的标准上,这些公司在很多情况下从它们的创建中获益最多。
无论如何,W3C可能不是负责Web安全监督的合适组织,因为它本质上定义了其他人使用的工具。安全漏洞通常涉及如何使用这些技术,而不一定涉及工具本身。
"标准机构应致力于制定非常明确的标准,以设定良好的基线," Hoffman表示。“世界上最糟糕的事情就是标准是模棱两可的,而现在有很多标准是模棱两可的。”
其他组织,如Web应用程序安全协会,正在尝试定义最安全的方法来开发应用程序。此外,整个行业的Web开发人员正在通过XSSed.org等网站分享更多的研究和安全“最佳实践”,XSSed.org发布有关新的跨站点脚本漏洞以及如何修复这些漏洞的信息。
但这样的努力只能到此为止。尽管存在安全问题,这些网络巨头多年来已经建立了自己的网站,新的漏洞几乎每天都在出现。
基于web的服务正在以令人眩目的速度取代传统的桌面软件,在这个过程中接管了tb级的个人数据。无限的电子邮件存储空间和web2.0风格的初创公司将进一步加速这一趋势。
然而,获得这些巨大而不可缺少的资源的途径通常是由少数几个以盈利为目的的大公司控制的。微软(Microsoft)、谷歌、雅虎(Yahoo)、美国在线(America Online)和其他领先公司已经基本建立起了世界大部分地区在日常生活中所依赖的服务——这实际上让它们成为了我们最敏感信息的守护者。
这就提出了一个显而易见的问题:这是个好主意吗?最令人不安的答案是,如果历史可以作为参考的话,我们可能没有太多的选择。
相对较新的在线应用程序正在努力解决安全问题。网络安全在它应该在的地方吗?它应该去哪里?
加载音频("websecurity_roundtable051007mp3");下载 MP3 (9.6 MB)
这在很多层面上都令人不安,但主要是因为这个行业在发展过程中基本上是在构建Web安全性。正如微软(Microsoft)、谷歌和雅虎(Yahoo)的安全高管所证实的那样,在很多情况下,这些公司都在将标准的桌面安全技术应用于新的Web应用程序。有时工作;有时它不。
网络安全专家SPI Dynamics的首席研究员比利•霍夫曼(Billy Hoffman)表示:“现在随时都可以在网上获得数据。”“这是一个很大的目标。”
Hoffman的工作是了解网络安全在哪里失效。在他看来,三大网站在安全方面做得相当不错,至少在服务器端是这样。不确定因素是,一旦数据离开Googleplex,通过网络传输,并缓存到用户的桌面上,数据会发生什么变化。
自1999年以来,90%以上的文件都是数字化制作的;超过42%的美国互联网用户拥有基于网络的银行服务;根据计算机服务公司CSC和其他来源的数据,每天有超过1600亿条电子邮件被发送。随着数据的堆积,保护服务器和桌面Web应用程序之间的数据流变得越来越困难,更不用说mashup和其他Web 2.0技术的额外复杂性了。与此同时, 袭击事件呈上升趋势 。
归根结底,我们正在进入一个未经探索的领域,越来越多的人依赖于越来越多的相对较新的应用程序,其中一些应用程序是用仍在发展的技术构建的,这些应用程序可以处理大量分散在全球多种服务器和网络上的个人数据。在这种令人生畏的背景下——以及对企业控制的担忧——要求某种独立监管的呼声是不可避免的。
“我们有关于安全实践的信息。这种脱节在于,我们没有一个中介机构,在你构建Web 2.0或其他应用程序时,告诉你这些东西如何适用于你。”霍夫曼说道。“会不会出现试图发布标准的非营利组织或其他组织?”可能。我们确实需要一个良好信息的中央信息交换所,因为那里有很多不好的信息。”
就连现在控制着大部分网络安全的公司的一些高管也说,需要更多的行业合作。
“安全最符合整个行业的利益,”“偏执的雅虎首席执行官”阿图罗·贝加尔(Arturo Bejar)说。“我们正在评估分享知识或工具的方式,以回馈社区。”
在政府不干预的情况下,一个似乎显而易见的做法是,采取某种形式的全行业合作,表面上是为了避免形成垄断或卡特尔。然而,这种方法说起来容易做起来难:以前在其他数字技术中已经尝试过很多次了,结果却以混乱收场,或者在主要利益相关者或利益相关方的实际控制之下告终。
总之,想想Windows。十多年的诉讼和纳税人数以百万计的钱并没有让微软放松对操作系统的控制。全世界90%以上的个人电脑用户每天都在使用微软的操作系统。
在网络出现的早期,一个叫做万维网联盟的非营利性机构诞生了,它的诞生源于利他主义的理念,即所有利益相关方都可以为了媒介的利益进行合作和妥协。所谓的W3C在定义不存在的Web标准方面做得很好,它在互联网的蛮荒西部的起源中充当了一个受信任的权威。与此同时,W3C的大部分活动都集中在由公司定义的标准上,这些公司在很多情况下从它们的创建中获益最多。
无论如何,W3C可能不是负责Web安全监督的合适组织,因为它本质上定义了其他人使用的工具。安全漏洞通常涉及如何使用这些技术,而不一定涉及工具本身。
"标准机构应致力于制定非常明确的标准,以设定良好的基线," Hoffman表示。“世界上最糟糕的事情就是标准是模棱两可的,而现在有很多标准是模棱两可的。”
其他组织,如Web应用程序安全协会,正在尝试定义最安全的方法来开发应用程序。此外,整个行业的Web开发人员正在通过XSSed.org等网站分享更多的研究和安全“最佳实践”,XSSed.org发布有关新的跨站点脚本漏洞以及如何修复这些漏洞的信息。
但这样的努力只能到此为止。尽管存在安全问题,这些网络巨头多年来已经建立了自己的网站,新的漏洞几乎每天都在出现。
例如,微软(Microsoft)在网络安全——以及一般的数字安全方面起步较晚。直到上世纪90年代,安全问题在Windows系统中基本上还是一个次要问题,因为Windows在设计时并没有考虑到持久的网络连接。
然而,一旦完全理解了这个问题的重要性,微软就会投入数十亿美元来保护客户端和服务器软件。随着微软推出“live”计划(微软对其新在线产品的营销用语),进一步深入网络服务领域,这一努力已扩大到网络安全领域。该计划还包括Windows live,这是个人电脑硬盘上软件的在线补充。
微软认为自己最了解如何解决像网络安全这样的大问题,这是可以理解的。它不仅是世界上最大的软件公司,而且那里的许多资深人士相信,他们多年前就已经见识过它了。他们说,那时候,它被称为桌面安全。
MSN和Windows Live security的高级主管皮特•博登(Pete Boden)赞同许多资深高管的观点。他认为,许多应用程序安全问题归结为同一个基本来源:数据输入;也就是人们在应用程序中输入的内容。严格控制什么可以输入,什么不能输入——用行业术语来说就是“验证”——就可以消除安全漏洞的主要访问点。
他说:“如果你对网络漏洞进行分类,并找出所有与输入验证相关的漏洞,我认为你就只剩下很少的漏洞了。”“我认为,我们看到的漏洞中有80%是输入验证错误。”
因此,Boden相信微软在竞争中占得先机,由于其悠久的软件历史和值得信赖的计算经验,微软很快就学会了网络安全。和它的主要竞争对手一样,微软也开发了一些工具来帮助开发人员消除漏洞和测试代码质量,比如一个名为Anti-XSS的程序,它可以发现跨站点脚本漏洞。
博登说:“在这里可能不像在其他一些地方那么可怕。”“我们有一个斜坡和一个学习曲线,我们必须爬上去,但我认为学习曲线对我们来说是陡峭的,因为我们在整个公司的反应过程和安全计划中进行了前期投资。”
不过,心存疑虑。毕竟,早在上世纪90年代中期,谷歌就错误判断了互联网的重要性,后来又低估了互联网搜索和数字音乐的价值。
微软在网络安全方面做得对吗?这是一个很好的机会,因为随着业务越来越多地转向网络,公司面临的风险太大了。此外,无论微软的运营多么有效,数以百万计的消费者和开发人员都将继续向该公司施压,要求其填补安全漏洞。
其他面临网络安全问题的人就没有这么乐观了。例如,谷歌认为所有这些都是充满未知的潜在地雷的外国地形。
谷歌负责工程的副总裁道格拉斯•梅里尔(Douglas Merrill)说,在这种模糊的环境下,采用散点法往往是最好的选择。在保护个人信息方面,美林更信任公司的服务器,而不是他办公室里的Mac,因为谷歌在数据中心周围建立的安全层比在个人电脑周围要多。
“很明显,每个模型都有一些你不应该去的特例,”他说。“我们投入了大量资源来保护云。”
或许如此,但没有一种系统是万无一失的。谷歌,微软和雅虎都声称他们已经加固了服务器以抵御攻击,但是电子邮件蠕虫,钓鱼攻击和其他攻击仍然是家常便饭。
这就是为什么雅虎的Bejar认为需要更多的行业合作。作为一个成功的企业安排的例子,他引用了雅虎与eBay和PayPal的合作关系,他想要更多地接触MSN和谷歌以及其他行业组织。
Bejar认为,不仅仅是网站和在线应用程序需要更好的安全性。其他因素,如更强的浏览器安全性,可能会产生巨大的影响。
只有一个问题:雅虎没有控制浏览器。Bejar说:“浏览器安全模型提出了一些挑战,作为一个行业,我们需要共同努力。”
谷歌正试图解决这个问题 获取一些技术 这将使网络浏览更加安全。微软已经开发了一些功能,如ie 7中的绿色条,表示“受信任”的网站,这是一项包括KDE、Mozilla、Opera软件和其他浏览器制造商的计划的一部分。
所有这一切都是一个良好的开端,但它主要是反应性的。三大公司的安全专家认为,还需要在软件开发的底层做更多的工作,从大学开始,尽早向新员工传授安全知识。
大学应该提供更多的课程,以弥合应用程序应该做什么和它们可以做什么之间的差距——这是一种目前没有被广泛教授的工程学方法。
简单地说,Bejar说,“我们需要确保我们在同一页上。”
例如,微软(Microsoft)在网络安全——以及一般的数字安全方面起步较晚。直到上世纪90年代,安全问题在Windows系统中基本上还是一个次要问题,因为Windows在设计时并没有考虑到持久的网络连接。
然而,一旦完全理解了这个问题的重要性,微软就会投入数十亿美元来保护客户端和服务器软件。随着微软推出“live”计划(微软对其新在线产品的营销用语),进一步深入网络服务领域,这一努力已扩大到网络安全领域。该计划还包括Windows live,这是个人电脑硬盘上软件的在线补充。
微软认为自己最了解如何解决像网络安全这样的大问题,这是可以理解的。它不仅是世界上最大的软件公司,而且那里的许多资深人士相信,他们多年前就已经见识过它了。他们说,那时候,它被称为桌面安全。
MSN和Windows Live security的高级主管皮特•博登(Pete Boden)赞同许多资深高管的观点。他认为,许多应用程序安全问题归结为同一个基本来源:数据输入;也就是人们在应用程序中输入的内容。严格控制什么可以输入,什么不能输入——用行业术语来说就是“验证”——就可以消除安全漏洞的主要访问点。
他说:“如果你对网络漏洞进行分类,并找出所有与输入验证相关的漏洞,我认为你就只剩下很少的漏洞了。”“我认为,我们看到的漏洞中有80%是输入验证错误。”
因此,Boden相信微软在竞争中占得先机,由于其悠久的软件历史和值得信赖的计算经验,微软很快就学会了网络安全。和它的主要竞争对手一样,微软也开发了一些工具来帮助开发人员消除漏洞和测试代码质量,比如一个名为Anti-XSS的程序,它可以发现跨站点脚本漏洞。
博登说:“在这里可能不像在其他一些地方那么可怕。”“我们有一个斜坡和一个学习曲线,我们必须爬上去,但我认为学习曲线对我们来说是陡峭的,因为我们在整个公司的反应过程和安全计划中进行了前期投资。”
不过,心存疑虑。毕竟,早在上世纪90年代中期,谷歌就错误判断了互联网的重要性,后来又低估了互联网搜索和数字音乐的价值。
微软在网络安全方面做得对吗?这是一个很好的机会,因为随着业务越来越多地转向网络,公司面临的风险太大了。此外,无论微软的运营多么有效,数以百万计的消费者和开发人员都将继续向该公司施压,要求其填补安全漏洞。
其他面临网络安全问题的人就没有这么乐观了。例如,谷歌认为所有这些都是充满未知的潜在地雷的外国地形。
谷歌负责工程的副总裁道格拉斯•梅里尔(Douglas Merrill)说,在这种模糊的环境下,采用散点法往往是最好的选择。在保护个人信息方面,美林更信任公司的服务器,而不是他办公室里的Mac,因为谷歌在数据中心周围建立的安全层比在个人电脑周围要多。
“很明显,每个模型都有一些你不应该去的特例,”他说。“我们投入了大量资源来保护云。”
或许如此,但没有一种系统是万无一失的。谷歌,微软和雅虎都声称他们已经加固了服务器以抵御攻击,但是电子邮件蠕虫,钓鱼攻击和其他攻击仍然是家常便饭。
这就是为什么雅虎的Bejar认为需要更多的行业合作。作为一个成功的企业安排的例子,他引用了雅虎与eBay和PayPal的合作关系,他想要更多地接触MSN和谷歌以及其他行业组织。
Bejar认为,不仅仅是网站和在线应用程序需要更好的安全性。其他因素,如更强的浏览器安全性,可能会产生巨大的影响。
只有一个问题:雅虎没有控制浏览器。Bejar说:“浏览器安全模型提出了一些挑战,作为一个行业,我们需要共同努力。”
谷歌正试图解决这个问题 获取一些技术 这将使网络浏览更加安全。微软已经开发了一些功能,如ie 7中的绿色条,表示“受信任”的网站,这是一项包括KDE、Mozilla、Opera软件和其他浏览器制造商的计划的一部分。
所有这一切都是一个良好的开端,但它主要是反应性的。三大公司的安全专家认为,还需要在软件开发的底层做更多的工作,从大学开始,尽早向新员工传授安全知识。
大学应该提供更多的课程,以弥合应用程序应该做什么和它们可以做什么之间的差距——这是一种目前没有被广泛教授的工程学方法。
简单地说,Bejar说,“我们需要确保我们在同一页上。”