基于权限对话框的访问控制
现代移动和Web平台中的权限系统可以保护其用户的隐私,并通过控制对资源的访问来减少攻击面。控制对传统计算机系统上资源的访问需要准确定义系统中所有相关的安全主体和受保护的资源。最后,访问控制系统需要一个不可绕过和可信的机制来评估访问请求(参考监视器)和定义适当路线的健全安全策略所有访问请求的操作。根据安全策略,参考监视器可以决定是授予访问权限还是拒绝访问(参见身份验证,授权和问责制CyBOK知识领域[4]).
现代移动和网络平台以多种方式偏离传统计算机系统:
安全主体
传统的计算机系统主要是多用户系统,由人类用户和代表他们运行的过程。现代移动和Web平台扩展了传统的多用户系统,将应用程序停滞在系统上的所有参与开发人员视为安全主体。
参考监视器
通常,传统的计算机系统将访问控制作为操作系统(OS)的一部分来实现,例如,虚拟系统和网络堆栈。然后,用户级进程可以扩展此操作系统功能并实现自己的访问控制机制。
与传统计算机系统一样,现代移动和Web平台建立在操作系统低级访问控制机制之上。此外,开发和部署应用程序的广泛框架提供了扩展接口。现代Web和移动平台使用进程间通信(IPC)在应用程序之间以及应用程序与操作系统之间实现权限分离和划分,而不是允许直接访问资源。调用进程上的访问控制机制用于保护IPC接口。
安全政策
在传统的计算机系统中,一个进程可以具有不同的权限级别。它可以作为超级用户、系统服务、用户级权限或来宾权限4运行。共享相同权限级别的所有进程都具有相同的权限集,并且可以访问相同的资源。
现代移动和Web平台明确区分了系统和第三方应用程序:对安全和隐私关键资源的访问权限仅授予指定的进程,默认情况下,第三方应用程序无法访问关键资源。如果需要此类访问权限,应用程序开发人员必须从所有第三方应用程序通常可用的集合中请求权限。大多数权限允许开发人员使用指定的系统进程作为代理来访问受保护的敏感资源。这些系统进程充当参考监视器并强制实施访问控制策略。
不同的权限方法
移动和Web平台实施不同的权限方法。首先,平台区分不同的权限级别。一个常见的区别是两个级别(例如,在Android上实现):正常(例如,访问互联网)和危险权限(例如,访问摄像头或麦克风)。虽然应用程序开发人员必须请求正常和危险权限才能向其应用程序授予对相应资源的访问权限,但应用程序用户的级别有所不同。普通权限以静默方式授予,无需任何应用程序用户交互。但是,每当应用程序需要危险权限时,底层移动或Web平台都会向用户显示权限对话框。虽然早期的Android版本在安装时向用户显示应用程序的所有必要权限的列表,但现代移动平台和浏览器存在运行时的权限对话框。
权限对话框通常在应用程序请求访问cor响应资源时显示。然后,应用程序用户可以授予或拒绝应用程序对资源的访问权限。现代基于权限的访问控制系统为开发人员和用户提供了更大的灵活性和控制力。
|
许可对话:注意力、理解和行为 虽然许可对话理论上允许更大的灵活性和控制力,但在实践中,它们往往具有严重的局限性。Porter Felt 等人发现,Android 应用程序开发人员倾向于为其应用程序请求比所需更多的权限 [15]。因此,应用程序请求访问的资源超过绝对必要的资源,这违反了最小特权原则。与开发人员类似,最终用户也在权限对话中挣扎。波特·费尔特等。[44]发现他们经常不能正确理解权限对话,并且由于习惯而忽略它们(参见人为因素CyBOK知识领域[20])。 |
原文始发于微信公众号(河南等级保护测评):Web和移动安全之基于权限对话框的访问控制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论