新防骇技术 Mylar,让你网站免于洩漏个资的风险

2020-07-13 阅读 290 次 作者: 来源: 课堂风暴

新防骇技术 Mylar,让你网站免于洩漏个资的风险

害怕自己在网页输入的资料洩漏出去吗?资安问题漏洞百出,防不胜防,现在,资料出现了另一个保护方法!

MIT 的研究员:许多网路服务应重新设计资安机制

MIT 的研究员 Raluca Popa 认为许多网路服务「应该要」且「能够」重新设计他们的资安机制来杜绝这样的现象。Popa 所开发的系统称作 Mylar,为了能够落实「没有值得信任的伺服器」的想法所建立的网站服务,藉由伺服器加密维护资料,并只能在使用者的电脑内解密。

「你不会注意到这会有什幺差别,但在进入伺服器前,你的资料会受到加密保护,必须在你的浏览页面输入密码」,Popa 说明,如果政府要求公司给予你的个人资料,伺服器是没办法给未加密的资料的,因为还好有 Popa 和 MIT 的同事们开发了一套软体,并建立了一家网路开发软体公司 Meteor Development Group。

这个设计网站伺服器的点子是 当 资料属于他们的伺服器内时,能一直让资料处于加密状态 ,而且研究员们已经开发出一套工具来宣称它是如何被完成,但是 Popa 表示 Mylar 是更实际的,甚至今天能开始进行服务。

Mylar 的密码追蹤让资料安全更高

这套软体是利用目前受欢迎的 Web Service 所建立的工具叫作 Meteor,让网站开发者能更简单地使用它。 Mylar 的设计是在个人浏览器内跑程式,能进行并提供资讯,一般的服务在这个伺服器都可以运作,但 Mylar 同时加入了新功能 —— 密码追蹤,允许伺服器能有效的运用使用者资料。Mylar 建立的伺服器可能可以搜索已经存在它伺服器内的加密资料,举例来说,一个人能够搜寻许多文件只要它们已经上传到档案储存空间即可。

Mylar 也让每个使用者能够和其他使用者分享资料,归功于这个系统能够分流给使用者必要的加密密码,并且不受到其他伺服器或是有心人监控传播,一个可选择的浏览器扩展能够被用来避免并保护解开个人资料所需要的密码,克服了有心人的攻击及恶毒的内部人。

宾州大学的研究员 Ariel Feldman 表示,Mylar 结合许多加密网页伺服器中实用的特色,以前从来没有把这部分整合过;然而,他认为许多网站公司选择接受加密方式的可能性看起来很低。「如果这类的系统真的能拓展到数百万的使用者,这将会是一个分水岭的瞬间。真正採纳它的阻碍,就是它的好用性和企业的考量情形」。

一个很大的使用性挑战在于,万一遗失了他们的密码,他们将会永远无法进入使用资讯,如果伺服器没有解密的话,虽然对于密码复原,Mylar 的设计有额外的安全系统。另一方面,对于企业的挑战将从额外建立安全系统的成本,到许多网路公司其实相当依赖藉由蒐集到使用者资料,进而打广告来创造获利。 Feldman 认为 Mylar 会吸引到将保密资料视为非常重要问题的公司,以资安问题越来越受重视地现在来说,不论是企业或是政府都可能会愿意支付更多的钱,为了保障资料安全。

Popa 对此仍是乐观看待,由于先前曾开发出一套系统叫作 CryptDB,为一套允许资料库能完全地加密的软体,并且至今已经被 Google 和软体公司的巨人 SAP 所採用,「我认为 Mylar 至少是好用的,当然不只如此」,Popa 说。

延伸阅读:

别小看 IT 部门,他们是企业防骇的大功臣!看 Google 资讯长怎幺维护内部资安