苹果WWDC大会定义“下一代安全技术”
点击蓝字 关注我们 ///
@GoUpSec
2022年的苹果公司全球开发者大会(WWDC)本周已拉开帷幕,今年,大量网络安全和隐私保护技术成为大会的技术亮点和焦点。
按照惯例,今年的WWDC首先展示了苹果未来几个月的产品和功能路线。
本周一(美国西部时间6月6日),苹果向与会者展示了重新设计的MacBook Air和采用M2芯片的新款13英寸MacBook Pro,以及iOS 16、iPadOS 16、macOS Ventura和watchOS 9的新功能。
虽然M2芯片和新操作系统功能是媒体聚光灯下的主角,但今年的WWDC真正让人眼前一亮的是影响全球安全产业格局的“下一代重大网络安全技术”的产品化和规模化交付,将2022称为苹果安全元年并不过分。
Safari全面加固
Safari浏览器已经取代Chrome成为北美最受欢迎的移动浏览器,苹果公司决定用“安全牌”来巩固其移动浏览器霸主地位。在本次WWDC大会上,苹果公司表示Safari很快将增加几项新的安全和隐私增强功能,旨在保护用户并为开发人员开辟新的机会。
“借助新的跨域开启程序策略和跨域嵌入策略HTTP响应标头,您的站点可以选择加入进程隔离,这意味着您的站点将在其自己的专用webContent进程中运行。”Safari软件工程师巴格雷透露:“我们的第二个安全增强还涉及HTTP标头,我们改进了对内容安全策略级别3的支持。CSP为您的加载内容提供了增强的安全控制,并降低了跨站点脚本(XSS)和其他漏洞的风险。”
告别密码时代,Passkey密钥亮相
虽然“无密码时代”已经炒作很久,但真正具备改变世界的能力并付诸实施的企业并不多。Apple认证体验团队的戴维森在WWDC22的虚拟舞台上展示了公司的“下一代(无密码)认证技术”Passkeys。
“密码真的很难安全使用,”戴维森解释道。“我们都知道我们应该为每个帐户创建强大、唯一的密码,但实际上并没有多少人这样做。”
他补充说:“在设计应用程序和网站时,需要在保持帐户安全和设计良好体验之间不断进行权衡。即使您的应用程序和网站一切正常,网络钓鱼和密码重用等问题仍然可能导致帐户泄露。”
为了解决这个问题,Passkeys(将与即将推出的macOS Ventura和iOS 16捆绑在一起)为用户帐户创建一个独特的、加密性强的密钥对,并将其存储在iCloud钥匙串中,以便在所有设备上同步和工作。
创建配对后,以后对应用程序或网站登录表单的任何访问都将在QuickType栏中显示“密码”选项。用户只需点击该选项或使用Touch ID即可登录。
戴维森说:“有了Passkeys,不仅用户体验比密码更好,而且整个类别的安全问题,如弱密码和密码重用、账户泄漏和网络钓鱼等问题,都不再可能发生了。而且它们非常易于使用。”
Safety Check安全检查功能
今年发布的苹果设备的另一个新功能是一种名为Safety Check的新隐私工具,旨在帮助那些人身安全可能受到家庭或亲密伴侣暴力威胁的用户。
该功能允许用户快速删除可能已授予他人的所有设备访问权限,安全检查包括紧急重置,可帮助用户在所有其他设备上轻松退出iCloud,重置隐私权限,并将消息传递限制为仅在他们手中的设备上进行。
该服务还可以帮助用户了解和管理他们有权访问的人员和应用程序。
淘汰验证码
以上还不是WWDC22的全部内容,本周(即将)亮相的还包括两个隐私和安全工具。
周三,苹果团队展示了私有访问令牌(Private Access Tokens)。这项新技术被宣传为挑战CAPTCHA(验证码)的“强大替代方案”,有助于识别来自合法设备的HTTP请求,而不会泄露用户的身份和个人信息。
“应用程序和服务器将如何利用此工具为在线交易增加信心并保护隐私。”苹果公司表示。
演讲视频地址:
https://developer.apple.com/videos/play/wwdc2022/10077/
DNS安全扩展
最后,6月10日(本周五下午),苹果公司将展示保护应用程序DNS安全的最新方法——DNSSEC(下图)。
“了解如何使用DNSSEC在您的应用程序中验证DNS响应,并通过发现指定解析器(DDR)自动启用DNS加密。”Apple在本周的演示预告中透露。
(https://developer.apple.com/videos/play/wwdc2022/10079/)
END
相关阅读