• <u id="saeeq"><wbr id="saeeq"></wbr></u>
  • <s id="saeeq"><div id="saeeq"></div></s>
  • <u id="saeeq"></u>
  • <u id="saeeq"><noscript id="saeeq"></noscript></u>
    • <s id="saeeq"></s>
    1. 首頁 > 學術活動 > 學術報告

    [11-15]云服務集成中的安全問題,以及程序分析技術在這一領域的潛力

    文章來源:  |  發布時間:2014-10-31  |  【打印】 【關閉

      

    Title: 云服務集成中的安全問題,以及程序分析技術在這一領域的潛力

          Security Problems in Cloud Services Integration, and the Potential of Program Analysis Technologies in This Field

    Speaker: 陳碩

           Shuo Chen (Microsoft Research, Redmond, USA)

    Time: 15th November 2014, 10:00

    Venue: Seminar Room (334), Level 3, Building 5, Institute of Software, CAS

    Abstract:

    當今越來越多的在線應用需要集成多個云服務,比如第三方支付、第三方認證等。每個公司開發自己的云服務,以Web API形式供其它方調用。這意味著系統的安全性取決于各方是否充分互相理解。遺憾的是,目前的軟件開發方法沒有充分保證安全性,各種邏輯漏洞非常普遍。

    這個報告的第一部分向大家介紹為什么多方安全協議很難被實際的程序員充分理解,因而實際系統中的邏輯漏洞很難避免。我們前幾年做了一系列研究,發現很多嚴重的邏輯漏洞,導致黑客可以不付款而購物、或不知道密碼而登陸別人的網站。這類問題并不是由于某一方程序員的無能或粗心,而是因為多方之間的互相理解出現了漏洞。

    報告的第二部分以我們去年和今年的工作為實例,介紹如何采用程序分析技術幫助避免上面提到的這類邏輯漏洞。其中一項工作是尋找SDK(software development kit)中的“隱性的安全前提”;另一項工作是關于如何能安全地集成云服務,而其安全性卻不依賴于對安全協議的充分理解。

    報告所介紹的工作見以下論文:

    Rui Wang, Shuo Chen, XiaoFeng Wang, and Shaz Qadeer, How to Shop for Free Online – Security Analysis of Cashier-as-a-Service Based Web Stores, in Proceedings of the IEEE Symposium on Security and Privacy(Oakland), IEEE Computer Society, May 2011

    Rui Wang, Shuo Chen, and XiaoFeng Wang, Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services, in Proceedings of the IEEE Symposium on Security and Privacy (Oakland), IEEE Computer Society, May 2012

    Rui Wang, Yuchen Zhou, Shuo Chen, Shaz Qadeer, David Evans, and Yuri Gurevich,Explicating SDKs: Uncovering Assumptions Underlying Secure Authentication and Authorization, in Proceedings of the USENIX Security Symposium, USENIX, August 2013

    Eric Chen, Shuo Chen, Shaz Qadeer, and Rui Wang, A Practical Approach to Protocol-Agnostic Security for Multiparty Online Services, no. MSR-TR-2014-72, 22 May 2014

    Biography:

    陳碩現任微軟研究院(Microsoft Research Redmond)資深研究員。其主要研究方向是軟件系統安全,尤其關注于發現和思考實際系統中的安全漏洞和挑戰。

    2007-2009年,他研究瀏覽器安全,期間發現一系列“用戶界面邏輯錯誤”,可以導致嚴重的釣魚攻擊;并且發現所有瀏覽器在處理HTTPS響應中均存在一類邏輯漏洞,導致HTTPS失效。這些發現大多數被廠商確認和修復。2010年,他發現“Web側信道(side channel)”問題在使用Web 2.0技術的網站中非常普遍且危險。用戶隱私信息,如投資、收入、醫療等,即使加密傳輸,仍然通過側信道暴露給網絡監聽者。2011年至今,他關注云服務集成中的邏輯正確性問題。他和同事發現許多使用第三方支付和第三方認證的系統存在邏輯漏洞,使得攻擊者可以免費購物或在登陸別人的網站。針對這些問題,他們提出了一系列分析方法和安全編程方法。

    他的工作曾獲得IEEE S&P會議最佳實踐論文獎和兩次微軟Gold Star獎。許多研究項目受到科技傳媒的報道,包括CNN, CNET, MIT Technology Review, Ars Technica, Computer World, 等。他經常擔任主要安全會議的程序委員,包括IEEE S&P,USENIX Security, ACM CCS, WWW, 等。他畢業于北京大學、清華大學和伊利諾伊大學Urbana-Champaign分校,獲得計算機科學學士、碩士和博士學位。

    Copyright © Institute of Software, CAS. All rights reserved.info(at)iscas.ac.cn
    版權所有 © 中國科學院軟件研究所 京ICP備05046678號-1 文保網安備1101080077
    電話:86-10-62661012 傳真:86-10-62562533 電子郵箱:info@iscas.ac.cn
  • <u id="saeeq"><wbr id="saeeq"></wbr></u>
  • <s id="saeeq"><div id="saeeq"></div></s>
  • <u id="saeeq"></u>
  • <u id="saeeq"><noscript id="saeeq"></noscript></u>
    • <s id="saeeq"></s>
  • 久久久综合香蕉尹人综合网