插件架构的安全/认证

Question

我正在考虑在基于插件的系统中实现安全性的多种方式。现在，当我说“安全”时，我的意思是:

a) 插件系统的开发人员如何确保插件在核心平台上的使用是安全的。b) 插件开发人员如何确保在其平台上使用的插件是“可信的”，即我们知道“WHO”开发该插件的某种方式(类似于 Facebook 对其 API key 所做的)c) 开发人员如何控制插件对 UI 所做的更改(如果允许的话)？例如，允许主控 UI 并将插件用户重定向到某些网页的插件会将用户带到钓鱼网站。

我对这个问题的初步想法是:关于 a) 我正在考虑使用沙盒是否足够。这会保护插件免于调用 Direct DB 来做一些顽皮的事情吗？是否可以在不影响系统功能的情况下限制插件访问本地系统？您对此有何看法？

关于 b)，我相信类似 Facebook 的身份验证是可行的方法。但这对于小型应用程序(“小型”的意思是它比 Facebook 或 Jira 小)会不会太过分了？还有其他可能的选择吗？

关于 c) 老实说，我不知道如何实现。有什么意见吗？

那么，问题是……如何在插件架构上实现安全性？

Answer 1

a 和 c 如果我理解正确的话，是同一个问题。

您想限制插件系统的可能性，简单的答案就是去限制环境。构建一个环境，在这个环境中，安全性、GUI 和任何您认为神圣的东西都必须通过设计来保护，称其为沙箱，称其为非常严格的 API，称其为迫使插件开发人员使用并非真正编程的东西语言。

如果不可能使某些东西看起来像登录屏幕，或者无法将人们重定向到其他地方，那么恶意开发人员将不得不放弃这些东西。

然而，这会形成一个僵硬的插件系统，开发人员几乎没有自由实现可能 Not Acceptable 新功能；过去，人们对什么是安全操作做出了错误的假设。

b 要了解谁开发了某些东西，您需要向他们询问并确认个人身份信息。

那时你可以简单地通过 SSL 使用用户和密码，或者如果你的系统要被其他人使用并且你不希望人们下载插件的额外负载，你就可以成为证书颁发机构的签名系统-插件。他们总是会把 key 放错地方，但您对此无能为力。

但是，即使您免费签名，也不适用于小型系统。

下一个最佳选择是一个句柄，其中一些经过检查的合法插件意味着您可以通过较少检查或根本不检查来获取您的插件。

如果开发人员也懒得注册帐户，您可以随时使用一些 SSL 流量检查 IP 以避免欺骗并将其用作他们的内部用户名。拥有动态 IP 或使用代理以及大量要发送的插件的人最终会注册。

当然，这需要会检查插件的人。