前端计算与安全防御ppt课件.ppt

《前端计算与安全防御ppt课件.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、前端计算和安全防御about:me{name:"佳⾠辰",nick:"EtherDream",from:"阿⾥里巴巴安全部"}前端开发安全研究Geeker19952000200520102015about:historyCPU:500MRAM:64MHelloWorldCPU:2Gx4RAM:8G今天前端利⽤用⺴⽹网络攻击GreatCannon在线挖矿⽐比特币、虚拟币科学计算最⼤大梅森素数、SETI其他….分担后端传统不信任客户端的⼀一切数据，所有计算服务端完成尝试设计合理的机制，利⽤用前端资源，分担后端⼯

2、工作案例：富⽂文本过滤的思考……富⽂文本跨站跨站攻击，第⼀一次接触⺴⽹网络安全HTML字符串->DOM树过滤⽩白名单外的节点和属性DOM树->HTML字符串反思完整的富⽂文本过滤，应当有如下流程：简化的流程HTML字符串->正则出于性能考虑，⼤大多在字符串层⾯面过滤能想到的⼤大⼩小写、引号、分隔符…想不到的浏览器私有特征、系统字集、特殊字符…HTML语法复杂前端过滤AB⽂文档渲染前HTML字符串->DOM（交给DOMParser）干净的DOM后端只储存，不过滤⽤用户提交富⽂文本HTML启⽰示浏览器擅⻓长的问

3、题，浏览器⾃自⼰己解决。可疑元素外链资源本地存储测试痕迹……前端监控换⼀一种⾓角度跨站攻击难以杜绝，不如增加预警机制。第⼀一时间发现问题启⽰示⽤用户优势：数量⼤大、成本低、覆盖⼲⼴广汇编JavaScriptJavaC解释执⾏行动态类型沙箱限制⾼高性能计算性能，⼀一直是脚本语⾔言的软肋装机量编译型JIT多线程跨平台传统⽅方案—Flash计算⽅方⾯面，Flash拥有众多优势强类型前沿⽅方案—asm.js使⽤用语法糖，约定⼀一套强类型规范。asm.jsx

4、0x>>>0=>=>intxuintx通过⼯工具⽣生成，例

5、如：emscripten可接近Native的性能100%80%60%40%Nativeasm.jsFlashJavaScript性能对⽐比效率⼤大致对⽐比未来⽅方案—WebAssembly标准化的Web计算⽅方案。⼆二进制格式。更规范，更快，兼容性更强。拭⺫⽬目以待......计算的价值凭空计算，能否创造价值？⽆无价值：计算结果没有任何⽤用途。有价值：计算过程的⼀一种认可。Sleep(5000)for(i=0~100亿)for(i=0~100亿)result+=i;耗时≠价值本地Cookie、Storage

6、休眠存储扫描本地存Cookie、Storage⼤大循环储扫描本地存储扫描Cookie、Storage可预测的问题耗时=价值计算不可预测的问题，答案只能穷举，耗费⼤大量时间。经典案例MD5(X)=X求X计算⽅方散列不可预测，答案只能穷举。（⼤大量计算）鉴定⽅方代⼊入答案即可校验。（计算⼀一次）难度可控求X，使结果前N位等于0MD5('问题'+X)='0000………………'改变N的⼤大⼩小，可调整难度提交带上答案编写帖⼦子问题解答中…打开⻚页⾯面获得问题创建计算线程实际应⽤用使⽤用⼯工作量，限制发帖频率接收校验

7、答案是否符合问题对⽐比验证码限速⼈人和机器都能通过⼯工作量消耗计算⼒力机器不能通过验证码消耗⽤用户体验⼯工作量其他⽤用途密码强化隐私泄露⼿手机、邮箱、⾝身份证….加密过的密码如果破解明⽂文密码，可以尝试登录其他账号密码泄露近年来，拖库事件频发。破解密码知道加密⽅方式，就可以暴⼒力破解字典常⽤用的词汇组合，增加猜中的⼏几率。破解速度加密有多快，猜⼀一次就多快。⼤大并发使⽤用多线程、GPU等可以更快。保护密码提⾼高加密时间->增加破解时间慢加密常⻅见算法：bcrypt、scrypt、PBKDF2…可设置加密过程

8、的⼯工作量，想多慢就多慢。缺陷增加服务器计算压⼒力。前端加密前端password=slow_hash(password)后端保持不变注意点不是保护账号数据泄露后，可以⽤用Hash登录，即使不知道明⽂文密码。⽽而是保护密码增加攻击者破解出明⽂文密码的难度。账号被盗，密码拿不到。前端加密优点降低⻛风险明⽂文密码离开浏览器就不存在，减少泄露环节提⾼高信任⺴⽹网站⽆无法储存⽤用户的明⽂文密码频率限制登录需要⼀一定计算量，限制恶意⽤用户前端加密启⽰示⽤用「时间」换「时间」⽤用户的时间，对抗攻击者破解密码的时间。提问富

9、⽂文本案例前端分担后端前端安全监控全民参与预警⾼高性能计算⽅方案⼯工作量的效率保障⼯工作量证明硬件限速慢加密计算强化密码总结前端性能现状潜⼒力挖掘