資訊專欄INFORMATION COLUMN
摘要:的安全比你想象的還要差大會(huì)結(jié)束了,發(fā)表了題為的演說。宣稱,根據(jù)可供選擇的類庫來倒騰你自己的棧,這種思想方法導(dǎo)致了系統(tǒng)級(jí)的安全問題。對(duì)于而言,安全的會(huì)話管理只有非常少量的被證明過的最佳實(shí)踐。安全頭在應(yīng)用程序,沒有集中的類庫來居中管理安全頭。
Clojure的web安全比你想象的還要差
ClojureWest大會(huì)結(jié)束了,Aaron Bedra發(fā)表了題為 Clojure.web/with-security的演說。如果你用Clojure開發(fā)web應(yīng)用程序,你必須看這個(gè)視頻。現(xiàn)在就看。
這篇博客綜合了Aaron的講話筆記和一些我自己的想法。
有多差?“Clojure web應(yīng)用程序是我曾經(jīng)見過的、在安全方面做得最差的。”
“……像PHP級(jí)別……沒有框架級(jí)別,安全。”
—Aaron Bedra
Aaron宣稱,根據(jù)可供選擇的類庫來倒騰你自己的(web)棧,這種Clojure思想方法導(dǎo)致了系統(tǒng)級(jí)的安全問題。我們有碎片,但是沒有把它們組合成一個(gè)強(qiáng)健的、可靠的框架。相反,開發(fā)者挑選不同的類庫,不是所有的類庫都提供了完整的覆蓋或健全的安全默認(rèn)項(xiàng)。
密碼管理password/crypt相關(guān)操作的前三名類庫(crypto-password, friend 和 lib-noir)不支持HMAC,不需要逐個(gè)更新就可以實(shí)現(xiàn)從一個(gè)模式遷移(MD5到SHA1到……),通常具備有限的選項(xiàng)。
Aaron推薦的不是要有多個(gè)選項(xiàng)可供選擇,而是Clojure社區(qū)致力于一個(gè)(他推薦crypto-password),讓friend和lib-noir依賴它。我認(rèn)為這是明智的想法。
會(huì)話管理Clojure web應(yīng)用程序通常依賴Ring處理會(huì)話管理。Ring不能提供持久會(huì)話管理(基于數(shù)據(jù)庫,保存/驗(yàn)證合法的會(huì)話cookie)來阻止重放攻擊(replay attack),會(huì)話cookie不能默認(rèn)成http only標(biāo)識(shí)(允許XSS攻擊盜取cookie)。
對(duì)于Ring而言,安全的會(huì)話管理只有非常少量的、被證明過的最佳實(shí)踐。
身份驗(yàn)證friend類庫就是基于Ring的web應(yīng)用程序在身份驗(yàn)證管理上的、事實(shí)上的類庫,它基本滿足了。不幸的是,friend不支持更加復(fù)雜的身份驗(yàn)證策略,在基于Ring之外的情況下就表現(xiàn)不好了。
我們不要用你自己的獨(dú)立身份驗(yàn)證類庫來填補(bǔ)這個(gè)空白,而應(yīng)該反饋給friend。這里我被人提醒了Ruby的omniauth。
XSS數(shù)量龐大的Clojure HTML模板類庫提高了持續(xù)防護(hù)XSS攻擊的難度(轉(zhuǎn)義HTML標(biāo)簽,控制標(biāo)簽被轉(zhuǎn)義或不被轉(zhuǎn)義)。
最終有太多的可供選擇的模板類庫。開發(fā)組應(yīng)該挑選一個(gè)并堅(jiān)持用下去。在選擇一個(gè)模板類庫時(shí),要把XSS控制的支持做為一個(gè)考慮因素。
安全頭在Clojure web應(yīng)用程序,沒有集中的類庫來居中管理安全頭。安全頭可以在Ring里手動(dòng)設(shè)置,但是你不得不知道配置的正確位置。Aaron指出,Ruby的secureheaders gem就是Clojure所需的一個(gè)例子。
更新:Dhruv Chandna已經(jīng)為其Ring中間件類庫推出了一個(gè)更新,增加了安全頭:ring-secure-headers。做得不錯(cuò)!隨后我會(huì)詳細(xì)研究的。
總結(jié)我的結(jié)論:開發(fā)安全性高(參考OWASP Top Ten List of Security Issues和 OWASP Testing Guide)的Clojure web應(yīng)用程序是幾乎不可能的,當(dāng)你決定這樣做的時(shí)候,是很痛苦的。
建立安全的Clojure web應(yīng)用程序需要更加容易點(diǎn)兒、需要集成了安全的框架,而不是孤立的類庫!我們已經(jīng)有了一些標(biāo)準(zhǔn)部件(crypto-password,friend),但是更大的開發(fā)和集成仍然是有必要的。
原文 Clojure web security is worse than you think
翻譯 臘八粥
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/11123.html
摘要:我們的目標(biāo)是建立對(duì)每一種語言的認(rèn)識(shí),它們是如何進(jìn)化的,未來將走向何方。有點(diǎn)的味道是堅(jiān)持使用動(dòng)態(tài)類型,但唯一還收到合理擁泵的編程語言,然而一些在企業(yè)的大型團(tuán)隊(duì)中工作的開發(fā)者擇認(rèn)為這會(huì)是的一個(gè)缺陷。 為什么我們需要如此多的JVM語言? 在2013年你可以有50中JVM語言的選擇來用于你的下一個(gè)項(xiàng)目。盡管你可以說出一大打的名字,你會(huì)準(zhǔn)備為你的下一個(gè)項(xiàng)目選擇一種新的JVM語言么? 如今借助來自...
摘要:但是,在這篇文章中,我要說的是如何從一個(gè)不錯(cuò)的工程師成為一個(gè)優(yōu)秀的工程師。大部分我認(rèn)為的這個(gè)領(lǐng)域中優(yōu)秀的工程師都是這些優(yōu)秀的第三方庫的維護(hù)者。 來自Google的前端工程師-Philip Walton 分享了自己關(guān)于如何成為優(yōu)秀的工程師的一些觀點(diǎn)。個(gè)人感覺很有價(jià)值,所以翻譯成中文,方便大家閱讀。水平有限,如翻譯不妥之處請(qǐng)?jiān)谠u(píng)論中指出。 原文地址:http://philipwalton....
摘要:但是,在這篇文章中,我要說的是如何從一個(gè)不錯(cuò)的工程師成為一個(gè)優(yōu)秀的工程師。大部分我認(rèn)為的這個(gè)領(lǐng)域中優(yōu)秀的工程師都是這些優(yōu)秀的第三方庫的維護(hù)者。 來自Google的前端工程師-Philip Walton 分享了自己關(guān)于如何成為優(yōu)秀的工程師的一些觀點(diǎn)。個(gè)人感覺很有價(jià)值,所以翻譯成中文,方便大家閱讀。水平有限,如翻譯不妥之處請(qǐng)?jiān)谠u(píng)論中指出。 原文地址:http://philipwalton....
摘要:但是,在這篇文章中,我要說的是如何從一個(gè)不錯(cuò)的工程師成為一個(gè)優(yōu)秀的工程師。大部分我認(rèn)為的這個(gè)領(lǐng)域中優(yōu)秀的工程師都是這些優(yōu)秀的第三方庫的維護(hù)者。 來自Google的前端工程師-Philip Walton 分享了自己關(guān)于如何成為優(yōu)秀的工程師的一些觀點(diǎn)。個(gè)人感覺很有價(jià)值,所以翻譯成中文,方便大家閱讀。水平有限,如翻譯不妥之處請(qǐng)?jiān)谠u(píng)論中指出。 原文地址:http://philipwalton....
摘要:前面不短時(shí)間持續(xù)投入了時(shí)間在做應(yīng)用架構(gòu)方面的考量一個(gè)是冒險(xiǎn)進(jìn)行了一次應(yīng)用架構(gòu)的調(diào)整另一個(gè)是跟進(jìn)了的進(jìn)展當(dāng)然實(shí)際上是同一個(gè)事情也許錯(cuò)過的比收獲的還多一些不過能走到現(xiàn)在也算幸運(yùn)了畢竟單頁面應(yīng)用還面臨很多不成熟之處國(guó)慶長(zhǎng)假過去不少現(xiàn)在的想法估計(jì)會(huì) 前面不短時(shí)間持續(xù)投入了時(shí)間在做 React 應(yīng)用架構(gòu)方面的考量一個(gè)是冒險(xiǎn)進(jìn)行了一次應(yīng)用架構(gòu)的調(diào)整, 另一個(gè)是跟進(jìn)了 Redux 的進(jìn)展當(dāng)然, 實(shí)際...
閱讀 1937·2021-10-11 10:59
閱讀 1043·2021-09-07 09:59
閱讀 2236·2021-08-27 16:17
閱讀 2791·2019-08-30 15:54
閱讀 2283·2019-08-30 12:58
閱讀 1783·2019-08-30 12:53
閱讀 1476·2019-08-28 18:13
閱讀 739·2019-08-26 13:35
