著 Chrome 77 的發(fā)布，谷歌也為 Android 和桌面版本引入了全新的站點(diǎn)隔離安全特性。此前，當(dāng)熔毀（Meltdown）和幽靈（Spectre）漏洞被披露的時(shí)候，谷歌就快速推出了這項(xiàng)安全特性，以便 Chrome 67 用戶(hù)啟用。開(kāi)啟之后，Chrome 瀏覽器將把用戶(hù)訪問(wèn)的每個(gè)網(wǎng)站，都加載到單獨(dú)的沙盒進(jìn)程中，以限制其對(duì)資源和功能的訪問(wèn)。

（題圖 via Bleeping Computer）

通過(guò)這種方式，能夠有效地防止惡意網(wǎng)站利用推測(cè)執(zhí)行攻擊漏洞，來(lái)訪問(wèn)加載在其它瀏覽器選項(xiàng)卡中的數(shù)據(jù)。

然而啟用站點(diǎn)隔離的代價(jià)，就是耗費(fèi)更多的進(jìn)程和內(nèi)存資源，導(dǎo)致某些網(wǎng)站的內(nèi)存用量爆炸。但在安全性和資源利用率之間，總要作出一定的權(quán)衡。

隨著 Android 版 CChrome 77 的發(fā)布，谷歌決定進(jìn)一步增強(qiáng)對(duì)移動(dòng)用戶(hù)的防護(hù)，所以引入了與桌面版本略有不同的網(wǎng)站隔離措施。

據(jù)悉，Android 版“網(wǎng)站隔離”特性，僅會(huì)保護(hù)用戶(hù)通過(guò)密碼登陸的站點(diǎn)，以減少移動(dòng)設(shè)備的資源占用率，畢竟其處理器和內(nèi)存性能都低于臺(tái)式機(jī)計(jì)算機(jī)。

谷歌表示，目前已有 99% 運(yùn)行 Android 且內(nèi)存超過(guò) 2GB 的用戶(hù)啟用了此功能，且有 1% 用戶(hù)保留了監(jiān)測(cè)功能以提升性能。在未來(lái)，谷歌還考慮向更多設(shè)備提供支持。

對(duì)于想要提供完整站點(diǎn)隔離保護(hù)功能的用戶(hù)，可在地址欄輸入 chrome:// flags/＃enable-site-per-process 并跳轉(zhuǎn)，然后啟用這個(gè)標(biāo)記。

至于臺(tái)式機(jī)用戶(hù)，目前 Chrome 77 的“站點(diǎn)隔離”功能亦可保護(hù)用戶(hù)免受渲染器進(jìn)程的影響。這些進(jìn)程負(fù)責(zé)各個(gè)標(biāo)簽頁(yè)中發(fā)生的事情，例如將 HTML、CSS 和 JavaScript 代碼轉(zhuǎn)義為網(wǎng)頁(yè)并顯示。

一些攻擊者試圖對(duì)其它標(biāo)簽頁(yè)中的網(wǎng)頁(yè)代碼展開(kāi)攻擊，但新加入的隔離措施，可有效防止此類(lèi)惡意活動(dòng)的發(fā)生。

blog/models.py


from django.db import models


class Post(models.Model):
	# Other fields ...
	body = models.TextField()

blog/views.py

def detail(request, pk):
	post = get_object_or_404(Post, pk=pk)
	post.body = markdown.markdown(post.body,
 				extensions=[
 					'markdown.extensions.extra',
 		 			'markdown.extensions.codehilite',
 					'markdown.extensions.toc',
 				])
	return render(request, 'blog/detail.html', context={'post': post})

[TOC]

## 我是標(biāo)題一

這是標(biāo)題一下的正文

## 我是標(biāo)題二

這是標(biāo)題二下的正文

### 我是標(biāo)題二下的子標(biāo)題
這是標(biāo)題二下的子標(biāo)題的正文

## 我是標(biāo)題三
這是標(biāo)題三下的正文

blog/views.py

def detail(request, pk):
	post = get_object_or_404(Post, pk=pk)
	md = markdown.Markdown(extensions=[
		 'markdown.extensions.extra',
		 'markdown.extensions.codehilite',
		 'markdown.extensions.toc',
	])
	post.body = md.convert(post.body)
	post.toc = md.toc

	return render(request, 'blog/detail.html', context={'post': post})

{% block toc %}
	<div class="widget widget-content">
		<h3 class="widget-title">文章目錄</h3>
 	{{ post.toc|safe }}
 	</div>
{% endblock toc %}

<div class="toc">
 	<ul></ul>
</div>

def detail(request, pk):
 	post = get_object_or_404(Post, pk=pk)
 	md = markdown.Markdown(extensions=[
 	'markdown.extensions.extra',
 	 	'markdown.extensions.codehilite',
 	'markdown.extensions.toc',
 	])
 	post.body = md.convert(post.body)
 
 	m = re.search(r'<div class="toc">\s*<ul>(.*)</ul>\s*</div>', md.toc, re.S)
 	post.toc = m.group(1) if m is not None else ''
 
 	return render(request, 'blog/detail.html', context={'post': post})

{% block toc %}
 	{% if post.toc %}
 	 <div class="widget widget-content">
 		<h3 class="widget-title">文章目錄</h3>
 		<div class="toc">
 		<ul>
 			{{ post.toc|safe }}
 		</ul>
 		</div>
 	 </div>
 	{% endif %}
{% endblock toc %}

http://127.0.0.1:8000/posts/8/#_1

http://127.0.0.1:8000/posts/8/#_3

blog/views.py

from django.utils.text import slugify
from markdown.extensions.toc import TocExtension

def detail(request, pk):
 	post = get_object_or_404(Post, pk=pk)
 	md = markdown.Markdown(extensions=[
 	 'markdown.extensions.extra',
 	 'markdown.extensions.codehilite',
 	 # 記得在頂部引入 TocExtension 和 slugify
 	 TocExtension(slugify=slugify),
 	])
 	post.body = md.convert(post.body)
 
 	m = re.search(r'<div class="toc">\s*<ul>(.*)</ul>\s*</div>', md.toc, re.S)
 	post.toc = m.group(1) if m is not None else ''
 
 	return render(request, 'blog/detail.html', context={'post': post})

http://127.0.0.1:8000/posts/8/#我是標(biāo)題一

http://127.0.0.1:8000/posts/8/#我是標(biāo)題二下的子標(biāo)題

. 安全

1.1. 關(guān)乎人類(lèi)心理學(xué)

1.1.1. 接受開(kāi)發(fā)者有著人類(lèi)的弱點(diǎn)，主要的弱點(diǎn)就是對(duì)概率的錯(cuò)誤估計(jì)

1.2. 安全從來(lái)不只跟軟件和信息有關(guān)，也跟人和環(huán)境有關(guān)

1.2.1. 有不計(jì)其數(shù)的公司讓它們的數(shù)據(jù)庫(kù)在互聯(lián)網(wǎng)上沒(méi)有密碼就可以被訪問(wèn)

1.3. 安全漏洞本身總是被叫作事故(incident)，絕不是不負(fù)責(zé)任的

1.4. 安全，就像測(cè)試一樣，是你的服務(wù)、數(shù)據(jù)和業(yè)務(wù)的可靠性的一個(gè)子集

1.5. 應(yīng)當(dāng)將與安全有關(guān)的決定看作可靠性技術(shù)債，它能幫你優(yōu)化整個(gè)人生

1.6. 安全問(wèn)題的不可避免也強(qiáng)調(diào)了事無(wú)絕對(duì)，沒(méi)有絕對(duì)安全的系統(tǒng)

1.7. 完美的安全是不可能實(shí)現(xiàn)的，你總會(huì)遇到用戶(hù)體驗(yàn)和安全之間的權(quán)衡

2. 復(fù)盤(pán)報(bào)告

2.1. postmortem blog post

2.2. 通常是在一次非常讓人尷尬的安全事件發(fā)生之后寫(xiě)的，目的是清晰地、極盡細(xì)節(jié)地向管理層描述事件始末

2.2.1. 實(shí)際上是為了掩蓋他們搞砸了的事實(shí)

3. 負(fù)責(zé)任的披露

3.1. responsible disclosure

3.2. 指的是那些沒(méi)有在快速識(shí)別問(wèn)題方面投入較多資源的公司，在利用充足的時(shí)間來(lái)修復(fù)問(wèn)題后，再向公眾公布修復(fù)安全漏洞的做法

3.3. 負(fù)責(zé)任的披露從一開(kāi)始就應(yīng)該被稱(chēng)為限時(shí)披露

4. 黑客之外

4.1. 安全可能還與那些你認(rèn)為不相關(guān)的因素有關(guān)

4.2. “不要在星期五進(jìn)行部署”

4.2.1. 這句話的邏輯很簡(jiǎn)單，即如果你把事情搞砸了，周末不會(huì)有人來(lái)處理，所以你應(yīng)該在一周的第一天來(lái)進(jìn)行一些高危操作

4.2.2. 周末存在的本身不是一個(gè)安全漏洞，但它仍然可能導(dǎo)致災(zāi)難性的結(jié)果

4.3. Facebook給開(kāi)發(fā)者提供了一個(gè)API，讓他們可以瀏覽用戶(hù)的好友列表

4.3.1. 2016年，一個(gè)公司通過(guò)這些信息生成用戶(hù)的政治傾向圖，然后通過(guò)精準(zhǔn)投放廣告影響大選

4.3.2. 這個(gè)功能是完全按照需求來(lái)設(shè)計(jì)的，沒(méi)有錯(cuò)誤，沒(méi)有安全漏洞，沒(méi)有后門(mén)，也沒(méi)有黑客介入

4.3.3. 某些人創(chuàng)造了這個(gè)功能，另一些人使用它，但是獲得的數(shù)據(jù)卻能違背他人意愿而操控他們，并因此導(dǎo)致傷害

5. 威脅模型

5.1. 對(duì)腦海里或者紙面上的威脅模型確定需要設(shè)置的安全措施的優(yōu)先次序，并找出其中的漏洞

5.2. 最常見(jiàn)的威脅模型之一可能是用“反正我也沒(méi)什么值得看的東西！”的想法來(lái)應(yīng)對(duì)黑客攻擊、平臺(tái)管控，或者心懷惡意的前合作伙伴

5.3. 我們并不真正關(guān)心數(shù)據(jù)是否被泄露和濫用，這種情況產(chǎn)生的原因主要是我們?nèi)狈ο胂罅?lái)思考數(shù)據(jù)的用途

5.4. 隱私就像安全帶：你在大多數(shù)時(shí)間里不需要它，但當(dāng)你需要它的時(shí)候，它可以救你的命

5.5. 實(shí)際的威脅建模涉及分析行為者(analyzing actor)、數(shù)據(jù)流(data flow)和信任邊界(trust boundary)

5.6. 袖珍威脅模型

5.6.1. 你的應(yīng)用程序的資產(chǎn)

5.6.1.1. 任何你不想丟失或泄露的東西都是資產(chǎn)，包括你的源代碼、設(shè)計(jì)文檔、數(shù)據(jù)庫(kù)、私鑰、API令牌、服務(wù)器配置，還有Netflix觀看清單

5.6.2. 資產(chǎn)所處的服務(wù)器

5.6.2.1. 每臺(tái)服務(wù)器都會(huì)被一些人訪問(wèn)，而每臺(tái)服務(wù)器都會(huì)訪問(wèn)其他一些服務(wù)器

5.6.3. 信息敏感性

5.6.4. 訪問(wèn)資源的路徑

5.7. 你服務(wù)器上的所有第三方組件都經(jīng)過(guò)了數(shù)百萬(wàn)次的測(cè)試、錯(cuò)誤修復(fù)和安全審計(jì)

6. 編寫(xiě)安全的網(wǎng)絡(luò)應(yīng)用程序

6.1. 在設(shè)計(jì)時(shí)考慮到安全問(wèn)題

6.1.1. 安全是很難后續(xù)改造的，主要是因?yàn)樗械脑O(shè)計(jì)導(dǎo)致你一開(kāi)始就寫(xiě)了不安全的代碼

6.1.1.1. 設(shè)計(jì)時(shí)首先要考慮到安全問(wèn)題，因?yàn)樵诩扔谢A(chǔ)上去改造安全措施是很難的

6.1.2. 審查你紙面的或腦海里的威脅模型

6.1.2.1. 了解風(fēng)險(xiǎn)，以及現(xiàn)在使之安全的成本和以后使之安全的成本

6.1.3. 決定你將把應(yīng)用程序的秘密（數(shù)據(jù)庫(kù)密碼、API密鑰）存儲(chǔ)在哪里

6.1.3.1. 讓它成為一個(gè)鐵打不動(dòng)的原則

6.1.4. 設(shè)計(jì)最少的權(quán)限

6.1.4.1. 代碼不應(yīng)該得到除它必須用到的之外的權(quán)限

6.1.4.2. 如果只有少數(shù)任務(wù)需要更高的權(quán)限，可以考慮將它們分解成單獨(dú)的、隔離的實(shí)體

6.1.4.3. 盡可能在最低權(quán)限的賬戶(hù)下運(yùn)行網(wǎng)頁(yè)應(yīng)用程序

6.1.5. 將安全原則應(yīng)用于你的整個(gè)組織

6.1.5.1. 員工不應(yīng)該訪問(wèn)他們執(zhí)行日常任務(wù)時(shí)不需要的資源

6.1.5.2. CEO根本就不該有訪問(wèn)數(shù)據(jù)庫(kù)或服務(wù)器的權(quán)限

6.1.5.3. 沒(méi)有人可以被信任，而是因?yàn)樗麄兊脑L問(wèn)權(quán)可能會(huì)被外部人員惡意取得

6.2. 隱蔽性安全的用處

6.2.1. 軟件安全是一場(chǎng)與時(shí)間的競(jìng)賽

6.2.1.1. 所有安全措施的唯一目的是為你贏得時(shí)間，讓攻擊者做無(wú)用功

6.2.2. 信息安全專(zhuān)家厭惡隱蔽性安全

6.2.2.1. 它不能為你贏得時(shí)間，或者也許它可以，但只是杯水車(chē)薪

6.2.3. 隱蔽性并不會(huì)給你帶來(lái)真正的安全，但它偶爾會(huì)給你爭(zhēng)取補(bǔ)救時(shí)間，直到你把問(wèn)題解決掉

6.2.4. 邊際安全并不是真正的安全

6.2.5. 當(dāng)你在安全這件事上努力的程度是大是小都沒(méi)什么區(qū)別而且風(fēng)險(xiǎn)很大時(shí)，更推薦你采用真正的安全而不是隱蔽性安全

6.2.6. 隱蔽性安全并不是真正的安全，但它可能是真正的損害。你得權(quán)衡利弊

6.3. 不要光靠你自己去實(shí)現(xiàn)安全

6.3.1. 你不應(yīng)該編寫(xiě)一種僅屬于自己的安全機(jī)制，無(wú)論它是哈希、加密還是節(jié)流

6.3.2. 一個(gè)普通的開(kāi)發(fā)者在實(shí)現(xiàn)自己軟件的安全時(shí)可能會(huì)錯(cuò)過(guò)關(guān)鍵的細(xì)節(jié)，基本上造成的結(jié)果就是毫不安全(zero security)

6.4. SQL注入攻擊

6.4.1. 解決SQL注入問(wèn)題的最安全方法是使用參數(shù)化查詢(xún)(parameterized query)

6.4.1.1. 參數(shù)化查詢(xún)并不是靈丹妙藥

6.4.1.2. 有些數(shù)據(jù)庫(kù)的抽象似乎不支持常見(jiàn)的參數(shù)化查詢(xún)，這些數(shù)據(jù)庫(kù)的抽象有其他的方法來(lái)進(jìn)行參數(shù)化查詢(xún)

6.4.1.3. 不要力求全部查詢(xún)都實(shí)現(xiàn)參數(shù)化

6.4.2. 使用參數(shù)化查詢(xún)的另一個(gè)好處是可以減少查詢(xún)計(jì)劃緩存(query plan cache)污染

6.4.3. 因?yàn)椴樵?xún)計(jì)劃緩存的容量是有限的，如果你用大量的不同用戶(hù)名運(yùn)行這個(gè)查詢(xún)，其他有用的查詢(xún)計(jì)劃條目將從緩存中被擠出，而緩存將被這些可能無(wú)用的條目填滿(mǎn)，這就叫作查詢(xún)計(jì)劃緩存污染

6.5. 備份

6.5.1. 回退是最糟糕的錯(cuò)誤類(lèi)型，會(huì)浪費(fèi)我們的時(shí)間

6.5.2. "3-2-1備份規(guī)則”(3-2-1 backup rule)

6.5.2.1. 有三個(gè)獨(dú)立的備份，兩個(gè)在獨(dú)立的媒介上，一個(gè)在獨(dú)立的地點(diǎn)

6.6. 跨站腳本攻擊

6.6.1. 跨站腳本(cross-site scripting)攻擊應(yīng)該被叫作“JavaScript注入攻擊”

6.6.2. 第一階段是將JavaScript的代碼插入網(wǎng)頁(yè)當(dāng)中

6.6.3. 第二階段就是通過(guò)網(wǎng)絡(luò)傳輸更多的JavaScript代碼，并在網(wǎng)頁(yè)上執(zhí)行

6.6.4. 通過(guò)從其他會(huì)話中竊取會(huì)話cookie來(lái)捕獲這些會(huì)話，這個(gè)操作叫作會(huì)話劫持(session hijacking)

6.6.5. 導(dǎo)致XSS攻擊出現(xiàn)的原因往往是存在問(wèn)題的HTML代碼

6.6.6. 抵御XSS攻擊的最簡(jiǎn)單方法是對(duì)文本進(jìn)行重編碼，使特殊的HTML字符被轉(zhuǎn)義

6.6.7. CSP是應(yīng)對(duì)XSS攻擊的另一個(gè)手段

6.6.7.1. CSP（content security policy，內(nèi)容安全策略）

6.6.7.2. 它是一個(gè)HTTP頭，限制了可以從第三方服務(wù)器請(qǐng)求的資源

6.6.7.3. 維護(hù)一個(gè)可信域列表并且使它保持最新?tīng)顟B(tài)是一件很費(fèi)力、費(fèi)時(shí)的事情

6.6.7.4. 無(wú)論你是否打算使用CSP，都應(yīng)該注意正確編碼HTML輸出

6.6.8. 只要不忽略注入HTML代碼和完全不進(jìn)行編碼等問(wèn)題，那么避免XSS攻擊還是很容易的

6.7. 跨站請(qǐng)求偽造

6.7.1. 在HTTP中，修改網(wǎng)絡(luò)內(nèi)容的操作是用POST，而不是用GET來(lái)實(shí)現(xiàn)的，這是有原因的

6.7.1.1. 你沒(méi)辦法生成指向POST地址的可單擊鏈接

6.7.1.2. 它只能被POST一次，如果操作失敗，瀏覽器會(huì)警告你是否需要再次提交

6.7.1.3. POST的這種性質(zhì)使我們對(duì)它過(guò)于信任

6.7.1.4. POST的隱患是，原始表單不一定要和POST請(qǐng)求所在的域相同

6.7.1.4.1. 要避免這種問(wèn)題的產(chǎn)生，可以對(duì)每個(gè)生成的form使用一個(gè)隨機(jī)生成的數(shù)字，這個(gè)數(shù)字會(huì)被復(fù)制在form本身和網(wǎng)站響應(yīng)標(biāo)題上

6.7.1.4.2. 你需要確保它在服務(wù)器端也得到了驗(yàn)證

6.8. 永遠(yuǎn)不要相信用戶(hù)的輸入