云服务集成中的安全问题,以及程序分析技术在这一领域的潜力(Security Problems in Cloud Services Integration, and the Potential of Program Analysis Technologies in This Field)
Title: 云服务集成中的安全问题,以及程序分析技术在这一领域的潜力(Security Problems in Cloud Services Integration, and the Potential of Program Analysis Technologies in This Field)
Speaker: Shuo Chen (Microsoft Research, Redmond, USA)
Time: 15th November 2014, 10:00
Venue: Seminar Room (334), Level 3, Building 5, Institute of Software, CAS
Abstract:
当今越来越多的在线应用需要集成多个云服务,比如第三方支付、第三方认证等。每个公司开发自己的云服务,以Web API形式供其它方调用。这意味着系统的安全性取决于各方是否充分互相理解。遗憾的是,目前的软件开发方法没有充分保证安全性,各种逻辑漏洞非常普遍。
这个报告的第一部分向大家介绍为什么多方安全协议很难被实际的程序员充分理解,因而实际系统中的逻辑漏洞很难避免。我们前几年做了一系列研究,发现很多严重的逻辑漏洞,导致黑客可以不付款而购物、或不知道密码而登陆别人的网站。这类问题并不是由于某一方程序员的无能或粗心,而是因为多方之间的互相理解出现了漏洞。
报告的第二部分以我们去年和今年的工作为实例,介绍如何采用程序分析技术帮助避免上面提到的这类逻辑漏洞。其中一项工作是寻找SDK(software development kit)中的“隐性的安全前提”;另一项工作是关于如何能安全地集成云服务,而其安全性却不依赖于对安全协议的充分理解。