蘋果WWDC大會定義“下一代安全技術”

2022年的蘋果公司全球開發者大會(WWDC)本周已拉開帷幕，今年，大量網絡安全和隱私保護技術成為大會的技術亮點和焦點。

按照慣例，今年的WWDC首先展示了蘋果未來幾個月的產品和功能路線。

本周一（美國西部時間6月6日），蘋果向與會者展示了重新設計的MacBook Air和采用M2芯片的新款13英寸MacBook Pro，以及iOS 16、iPadOS 16、macOS Ventura和watchOS 9的新功能。

雖然M2芯片和新操作系統功能是媒體聚光燈下的主角，但今年的WWDC真正讓人眼前一亮的是影響全球安全產業格局的“下一代重大網絡安全技術”的產品化和規模化交付，將2022稱為蘋果安全元年并不過分。

Safari全面加固

Safari瀏覽器已經取代Chrome成為北美最受歡迎的移動瀏覽器，蘋果公司決定用“安全牌”來鞏固其移動瀏覽器霸主地位。在本次WWDC大會上，蘋果公司表示Safari很快將增加幾項新的安全和隱私增強功能，旨在保護用戶并為開發人員開辟新的機會。

“借助新的跨域開啟程序策略和跨域嵌入策略HTTP響應標頭，您的站點可以選擇加入進程隔離，這意味著您的站點將在其自己的專用webContent進程中運行。”Safari軟件工程師巴格雷透露：“我們的第二個安全增強還涉及HTTP標頭，我們改進了對內容安全策略級別3的支持。CSP為您的加載內容提供了增強的安全控制，并降低了跨站點腳本（XSS）和其他漏洞的風險。”

告別密碼時代，Passkey密鑰亮相

雖然“無密碼時代”已經炒作很久，但真正具備改變世界的能力并付諸實施的企業并不多。Apple認證體驗團隊的戴維森在WWDC22的虛擬舞臺上展示了公司的“下一代（無密碼）認證技術”Passkeys。

“密碼真的很難安全使用，”戴維森解釋道。“我們都知道我們應該為每個帳戶創建強大、唯一的密碼，但實際上并沒有多少人這樣做。”

他補充說：“在設計應用程序和網站時，需要在保持帳戶安全和設計良好體驗之間不斷進行權衡。即使您的應用程序和網站一切正常，網絡釣魚和密碼重用等問題仍然可能導致帳戶泄露。”

為了解決這個問題，Passkeys（將與即將推出的macOS Ventura和iOS 16捆綁在一起）為用戶帳戶創建一個獨特的、加密性強的密鑰對，并將其存儲在iCloud鑰匙串中，以便在所有設備上同步和工作。

創建配對后，以后對應用程序或網站登錄表單的任何訪問都將在QuickType欄中顯示“密碼”選項。用戶只需點擊該選項或使用Touch ID即可登錄。

戴維森說：“有了Passkeys，不僅用戶體驗比密碼更好，而且整個類別的安全問題，如弱密碼和密碼重用、賬戶泄漏和網絡釣魚等問題，都不再可能發生了。而且它們非常易于使用。”

Safety Check安全檢查功能

今年發布的蘋果設備的另一個新功能是一種名為Safety Check的新隱私工具，旨在幫助那些人身安全可能受到家庭或親密伴侶暴力威脅的用戶。

該功能允許用戶快速刪除可能已授予他人的所有設備訪問權限，安全檢查包括緊急重置，可幫助用戶在所有其他設備上輕松退出iCloud，重置隱私權限，并將消息傳遞限制為僅在他們手中的設備上進行。

該服務還可以幫助用戶了解和管理他們有權訪問的人員和應用程序。

淘汰驗證碼

以上還不是WWDC22的全部內容，本周（即將）亮相的還包括兩個隱私和安全工具。

周三，蘋果團隊展示了私有訪問令牌（Private Access Tokens）。這項新技術被宣傳為挑戰CAPTCHA（驗證碼）的“強大替代方案”，有助于識別來自合法設備的HTTP請求，而不會泄露用戶的身份和個人信息。

“應用程序和服務器將如何利用此工具為在線交易增加信心并保護隱私。”蘋果公司表示。

演講視頻地址：

https://developer.apple.com/videos/play/wwdc2022/10077/

DNS安全擴展

最后，6月10日（本周五下午），蘋果公司將展示保護應用程序DNS安全的最新方法——DNSSEC（下圖）。

“了解如何使用DNSSEC在您的應用程序中驗證DNS響應，并通過發現指定解析器(DDR)自動啟用DNS加密。”Apple在本周的演示預告中透露。

（https://developer.apple.com/videos/play/wwdc2022/10079/）

（來源：@GoUpSec）