當(dāng)我收到蘋(píng)果公司在“全球開(kāi)發(fā)者會(huì)議”的演講活動(dòng)的邀請(qǐng)函時(shí)，我的第一反應(yīng)是：“為什么邀請(qǐng)我呢?” 我是被公認(rèn)為搞安全的，這意味著只有在出現(xiàn)安全問(wèn)題時(shí)我才會(huì)被邀請(qǐng)出來(lái)。但是在我看完邀請(qǐng)函后，我明白為什么了。

在蘋(píng)果公司的IOS和OS X系統(tǒng)被討論的眾多新特性中，兩個(gè)安全相關(guān)的問(wèn)題被特別關(guān)注：iCloud鑰匙串和激活鎖;當(dāng)我看過(guò)這些功能的演示和接下來(lái)的時(shí)間里發(fā)布的一些新特性，我開(kāi)始意識(shí)到蘋(píng)果公司正在向安全戰(zhàn)略靠近，這是我之前沒(méi)有想到的。

人為因素

蘋(píng)果公司因其將“專注于設(shè)計(jì)和用戶體驗(yàn)”為首要指導(dǎo)原則而出名，當(dāng)遇到安全問(wèn)題時(shí)，就像是自找麻煩。所有的安全幾乎都是在為攻擊者設(shè)置重重障礙，但是同樣的不便也會(huì)帶給用戶(盡管有安全廠商的索賠)。

多年來(lái)，蘋(píng)果公司傾向于良好的用戶體驗(yàn)而遺留給用戶的是安全風(fēng)險(xiǎn)。

保護(hù)好你的密碼：重要的是他們保護(hù)我們和我們的設(shè)備，但他們又是一個(gè)最普遍被鄙視的東西(我曾經(jīng)到處找密碼)。

多年來(lái)，蘋(píng)果公司傾向于良好的用戶體驗(yàn)，而遺留給用戶的是安全風(fēng)險(xiǎn)，這一戰(zhàn)略實(shí)施了很長(zhǎng)時(shí)間，部分原因是蘋(píng)果市場(chǎng)的占有率很低，不是被攻擊的目標(biāo)。但是，現(xiàn)在的蘋(píng)果產(chǎn)品正在普及，在安全市場(chǎng)上很多人想知道在如今被關(guān)注的位置下，蘋(píng)果會(huì)怎樣調(diào)整自身的安全策略。

事實(shí)上，蘋(píng)果公司不僅平滑的處理了變化，而且已經(jīng)接受了它。盡管開(kāi)局不利，蘋(píng)果公司現(xiàn)在將其令人印象深刻的設(shè)計(jì)理念變得更安全，以自己的方式在過(guò)程中改變我們對(duì)安全和技術(shù)的預(yù)期。

務(wù)實(shí)的設(shè)計(jì)

雖然蘋(píng)果公司沒(méi)有說(shuō)的那么明確，很明顯的是，一個(gè)重要原則引導(dǎo)他們談到安全問(wèn)題：你越是阻止用戶去做一件事情，用戶就越有可能繞過(guò)安全措施。在公司的WWDC(全球開(kāi)發(fā)者會(huì)議)主題演講中有三個(gè)很好的例子：

​iCloud鑰匙串：當(dāng)蘋(píng)果首次宣布此功能時(shí)，我感到很疑惑;為什么要添加一個(gè)密碼器來(lái)管理操作系統(tǒng)和默認(rèn)的瀏覽器呢?現(xiàn)在已經(jīng)有大量的第三方應(yīng)用程序已經(jīng)這么做了，而且這并不是一個(gè)可以讓用戶感到驚奇的功能。

然后我意識(shí)到蘋(píng)果其實(shí)是在解決現(xiàn)實(shí)世界中的安全問(wèn)題，他試圖讓問(wèn)題簡(jiǎn)單的離開(kāi)用戶，蘋(píng)果當(dāng)然不能夠阻止釣魚(yú)攻擊，但是它可以添加一個(gè)內(nèi)置的、基于云端的密碼管理器，這樣既降低了安全風(fēng)險(xiǎn)，又提高了用戶體驗(yàn)。這樣可以使用戶使用復(fù)雜、特定的密碼，這個(gè)密碼可以使用戶同步他們所有的設(shè)備(當(dāng)然，這里假設(shè)用戶只使用蘋(píng)果產(chǎn)品)。

正如我們?cè)赪WDC看到的，隨著安全特性深度集成在瀏覽器中，用戶不必管理插件或者額外的點(diǎn)擊按鈕來(lái)決定什么時(shí)候該使用這個(gè)工具，在用戶需要它的時(shí)候就會(huì)自動(dòng)彈出來(lái)，這樣比手動(dòng)輸入一個(gè)密碼看起來(lái)更容易使用。這種更人性化的設(shè)計(jì)原則，不僅解決了安全問(wèn)題，而且還增強(qiáng)了用戶體驗(yàn)。

無(wú)需安裝額外的軟件或插件，也不用記住點(diǎn)擊哪些按鈕，iCloud鑰匙串用來(lái)增強(qiáng)用戶安全可能不是足夠好，但是它將密碼管理權(quán)交給了用戶。

激活鎖：世界各地偷竊蘋(píng)果設(shè)備的案件接連不斷，雖然我們可能會(huì)責(zé)怪蘋(píng)果公司做出如此令人滿意的產(chǎn)品，但是蘋(píng)果公司顯然是不愿意看到人們?cè)诠妶?chǎng)所因?yàn)榭謶直I竊而不得不隱藏他們的設(shè)備。手機(jī)運(yùn)營(yíng)商可以通過(guò)拒絕激活被盜的手機(jī)而大大的減少盜竊案(每臺(tái)蜂窩設(shè)備都有獨(dú)一無(wú)二的硬件ID)，但是到目前為止，他們一直行動(dòng)緩慢。即使國(guó)內(nèi)運(yùn)營(yíng)商創(chuàng)建注冊(cè)表項(xiàng)，但是并不是國(guó)外運(yùn)營(yíng)商也能這么做，并且還會(huì)有壞人把設(shè)備偷渡到海外。

激活鎖使得決定權(quán)不在運(yùn)營(yíng)商手中，而是在實(shí)施一個(gè)全球性的解決方案，除非有新的黑客技術(shù)，否則手機(jī)一旦被盜，手機(jī)和iCloud都將無(wú)法使用，除了擁有一個(gè)免費(fèi)的iCloud賬戶外用戶不必做任何事情，沒(méi)有載波鎖定、登記、注冊(cè)工作，沒(méi)有其它障礙來(lái)阻止使用它，該特性減少了對(duì)消費(fèi)者使用額外的成本來(lái)防止設(shè)備被盜。

所以，在此重申一遍，蘋(píng)果公司是在解決現(xiàn)實(shí)世界遇到的問(wèn)題，而且不影響用戶的體驗(yàn)(也許只有時(shí)間會(huì)證明它是有效的)。

守護(hù)者和Mac App商店：我之前寫(xiě)過(guò)的一篇文章，守護(hù)者具有沙盒、App 商店、代碼簽名等技術(shù)，大大的減少了用戶被誘導(dǎo)安裝惡意軟件。這是基于終端沙盒技術(shù)和依賴于IOS的App商店來(lái)成功實(shí)現(xiàn)的，在IOS平臺(tái)阻止了大量的惡意程序的出現(xiàn)。

再次，蘋(píng)果公司解決用戶端的問(wèn)題，它不依賴于深度的安全技術(shù)使得目標(biāo)可以被欺騙繞過(guò)，相反，通過(guò)推動(dòng)用戶依賴于App商店和提供強(qiáng)有力的激勵(lì)措施(比如簡(jiǎn)單易用的更新和免費(fèi)的升級(jí))，蘋(píng)果減少了用戶從其它地方下載App，從而減少了安全風(fēng)險(xiǎn)，蘋(píng)果公司的守護(hù)者可以讓用戶不會(huì)偶然的下載不信任的應(yīng)用程序。

這種方式挫敗了惡意軟件的攻擊并最低限度的影響用戶體驗(yàn)，大多數(shù)用戶不用考慮他們使用的程序是從哪里來(lái)的或者是否安裝了不良的程序。

讓安全問(wèn)題消失不見(jiàn)和務(wù)實(shí)的設(shè)計(jì)

你會(huì)在蘋(píng)果公司的其它地方看到同樣的處理方式：

通過(guò)使用FileVault2，為用戶提供全磁盤(pán)加密來(lái)保護(hù)丟失的筆記本電腦，同時(shí)，如果用戶不小心把自己鎖住了，該技術(shù)允許用戶安全、免費(fèi)的恢復(fù)他們的系統(tǒng)(而不會(huì)給國(guó)家安全局留下后門)。Xprotect提供無(wú)形的、基本的反惡意軟件來(lái)保護(hù)電腦，免去殺毒軟件等工具。除非用戶有明確的需求，否則在瀏覽器中的Java是自動(dòng)被禁用的，最大限度的減少對(duì)Mac電腦的攻擊。IOS會(huì)很快的對(duì)所有應(yīng)用程序做強(qiáng)加密，同時(shí)做嚴(yán)格的隔離，有效的消除了大部分的攻擊形式。

這些嚴(yán)格的控制可能會(huì)阻礙一些技術(shù)先進(jìn)的用戶，包括一些安全廠商。但是他們確實(shí)是提供了一個(gè)安全的用戶體驗(yàn)，在過(guò)去的五年時(shí)間里有效的證明了這是正確的。

根據(jù)這些理念所一貫執(zhí)行的措施都是蘋(píng)果公司正在進(jìn)行的嘗試，在可能的情況下，使用安全策略來(lái)改善用戶體驗(yàn)也是可以實(shí)現(xiàn)的，另外，通過(guò)專注與設(shè)計(jì)，蘋(píng)果持續(xù)采用這些技術(shù)，所以，會(huì)使得蘋(píng)果產(chǎn)品越來(lái)越安全。

譯者按：

iCloud鑰匙串

這個(gè)新功能將會(huì)把同一個(gè)用戶的蘋(píng)果設(shè)備里的網(wǎng)頁(yè)密碼和wifi密碼等全部通過(guò)iCloud存儲(chǔ)到iCloud鑰匙串里面，它會(huì)同步到所有蘋(píng)果設(shè)備里面。

舉個(gè)例子：如果你拿著一臺(tái)iPhone去到朋友家里，然后蹭他家里的wifi，然后iCloud鑰匙串將會(huì)把這個(gè)wifi密碼保存到云里。如果這時(shí)候你將Macbook拿出來(lái)在他家辦公，那么這臺(tái)Macbook將會(huì)自動(dòng)蹭他家的wifi，無(wú)須再搜索wifi和輸入密碼了。

激活鎖

該功能旨在降低蘋(píng)果設(shè)備的被盜率。

當(dāng)小偷準(zhǔn)備關(guān)閉iOS設(shè)備的“找到我的手機(jī)”功能，或者企圖刪除手機(jī)數(shù)據(jù)、重置系統(tǒng)時(shí)，會(huì)被系統(tǒng)要求輸入Apple ID和密碼。

由于小偷無(wú)法向以前一樣重置系統(tǒng)，被偷的設(shè)備流入黑市的可能性就很小了，這大大降低了小偷手中被盜設(shè)備的價(jià)值，也就降低了iOS設(shè)備被盜的幾率。

*本文由美國(guó)安全顧問(wèn)公司Securosis安全研究員Rich Mogull撰寫(xiě)，IDF志愿者張土豆翻譯，做個(gè)好人校驗(yàn)。