高性能图像—安全图像交付.PDFVIP

高性能图像— 安全图像交付 Colin Bendell、Yoav Weiss 、Tim Kadlec 、Guy Podjarny、Nick Doyle 和 Mike McCall 高性能图像 — 安全图像交付 1 保证图像交付的安全 在交付过程中，转换中和转换后图像的安全性是一个重要且容易被忽略的方面 — 但对于您的品牌而言，这与您向用户 交付图像的方式同等重要。如果您的图像遭到篡改，该怎么办？如果有恶意代理访问过图像，您的品牌会受到怎样的 伤害？ 安全图像传输 过去，大多数 Web 均采用未加密交付方式，这种情况直至最近才有所改观。我们都有过这样的经历，在很多地方， 未加密的流中的内容会被劫持。公共 Wifi 会有意为之，在授予您互联网访问权限之前，强迫您通过某个强制性网络门户 进行认证。众所周知，ISP 会出于好意而采用更高的压缩率，导致您的品牌的视觉展示质量下降。 Cache-Control: no-transform 对于某些行为规范的图像转换有效，但并非对所有图像转换都有效（见图 13-21 ）。但是 也有不怀好意的透明代理会劫持图像请求，使用不同的广告或占位符替换内容。 图 13-21. 使用 Cache-Control: no-transform 防止 ISP 代理造成的质量下降 保护图像的传输十分简单。利用 TLS ，您可以确保从用户到服务器的通信是可信的，并且没有任何中间代理干扰或篡改 您的内容。迁移到 HTTP/2 也需要使用 TLS 。 当心内容在不可信的 Wi-Fi 上遭到劫持 越来越多的报告称，在酒店、咖啡店和餐厅找到的免费 Wi-Fi 热点会用其他广告取代原有 Web 内容。先将商 业道德的观点放在一边 - 即服务提供商能否通过提供免费 Wi-Fi 而获得广告收入 - 这种做法对您自己的 Web 内 容中的品牌宣传也有不利影响。像这样的内容劫持方法只对未加密网页和图像有效。迁移到 TLS 能抵御中 间人拦截。 高性能图像 — 安全图像交付 2 安全图像转换 保护图像交付不仅仅局限于传输层，我们还应该关注转换引擎的攻击面。无论您使用的是内部图像转换引擎还是外部图 像转换引擎，都有可能存在许多漏洞。第三方和开源库非常有用，但如果没有进行适当隔离，也可能会给企业带来风险。 Mitre 维护着一份通用漏洞与披露 (CVE) 索引（见图 13-22 ）。Mitre 维护并提供一份“通用漏洞与披露 (CVE) 索引” （见 图 13-22 ）。应将隔离和修补纳入团队的常规工作。 图 13-22. 针对 ImageMagick 和常见图像库的 CVE 报告 图像漏洞和攻击向量普遍适用于所有图像格式 如今，有关图像漏洞的新闻和博客帖子层出不穷。大多数与图像相关的攻击都利用了一种名为“steganography”的信息 伪装技术，涉及到在图像内隐藏信息或漏洞代码。没有任何一种图片格式能免受其祸。在 2013 年，一名安全研究人员 发现了一个后门，该后门在 JPEG 的 Exif 标头中隐藏了数据，Trend Micro 在博客中也公布了另一种类似的 JPEG 相关 攻击向量。其他类似攻击利用 BMP 和 PNG 来完成恶意活动。不仅图像库易受攻击，图像转换引擎也是如此。2016 年 春季，ImageMagick 爆出大新闻，存在俗称为“imagetragic”的远程执行漏洞。 图像转换引擎最主要的顾虑在于，如果被感染的图像进入处理，就能通过解码或突变过程利用漏洞。为此，可以利用通 过逻辑边缘情况、校验和冲突或远程代码执行实现的字节篡改。考虑一下，iOS 3 中允许越狱的著名 Jailbreakme 漏洞 利用了 iOS 中 TIFF 解码器的一个缺陷。仅仅这一个缺陷就会导致恶意用户获得整个操作系统的 root 权限。设想一下这 可能会对您的图像产生怎样的影响。此漏洞可能会影响后续图像，可能会给后续图像标上有损品牌形象的信息。仅凭图 像的字节已经离开了处理器这一事实，并不能断定没有残留代码在线程上运行。您绝不会希望在毫不知情的情况下，所 有的产品图像都被涂鸦上了“多吃西兰花”的字样（见图 13-23 ）。 受感