インタビュー：ティム・メッサーシュミット、PayPal

Habrの多くの読者は、最近のMBLTDevカンファレンスで、ヨーロッパ、中東、アフリカの開発者とPayPalのコミュニケーションを担当しているTim Messerschmidtの講演に耳を傾けました。 認証と、ユーザーデータを保護する際に専門家が直面する問題についてでした。 RedmadrobotテクニカルディレクターのArthur Sakharov mc_murphyは、イベントの舞台裏でTimを捕まえ、セキュリティ、脱獄、プログラミング言語について話しました。



スピーチの中で、特に銀行業務アプリケーションなどの「機密」情報に関しては、UXの品質がセキュリティとしばしば競合するという事実について多くのことを話しました。 これについて詳しく教えてください。

PayPalでは、2要素認証を使用します。新しいデバイスを確認するときには、そのハードウェア識別子を使用し、SMS経由で送信されるワンタイムアクセスコードで確認します。 ユーザーが登録すると、承認を確認するための要求が記載された電子メールも受信します。 つまり、通常の登録とその後のパスワードログインに加えて、多くのセキュリティソリューションを提供しています。



率直に言ってみましょう。複雑なパスワードをお持ちの場合、それは良いことです。 ただし、ほとんどのユーザーのパスワードは信頼できないことを理解する必要があります。 そして、-ほとんどのユーザーは同じ一般的なパスワードを使用するため、うまく機能するパスワードの可能な組み合わせを試す可能性を覚えておく必要があります。 長いパスワードを強制的に作成することで、攻撃のリスクを減らすことができます。 情報が重要であり、保護が必要であることに気付いたとき、人々はより強力なパスワードを使用します。 これらは、銀行のアプリケーション、PayPal、Google、eBay、およびシングルサインオンに後で使用されることになっているサービスです。



一部のサービスでは強力なパスワードを使用できますが、絶対的な保護を提供することはほとんどありません。 結局、フィッシング攻撃の目的は多くの場合、ユーザーの電子メールであり、メールボックスには重要な情報が含まれており、他のすべてのサービスの「鍵」です。 銀行のアプリケーションを電子メールと組み合わせて使用​​すると、特に信頼性が低いことがわかりました。

もちろん、銀行アプリケーションの場合、登録やメール認証はお勧めしません。 ソフトウェアトークンを使用する場合でも、データはまだ側にある可能性があるため、おそらくハードウェアトークンを選択します。 Androidスマートフォンでコード付きのSMSを受け取ったとしても、信頼性はそれほど高くありません。結局、他のアプリケーションがそれを傍受する可能性があります。



Androidが好きなのは知っています。 セキュリティのコンテキストでAndroidとiOSについて話しましょう。 誰のアプローチがより効果的ですか？

iOSはよりクローズドなシステムであり、より多くの制限があります。 場合によっては、これは大きなプラスになります。 Androidに関しては、セキュリティに関して多くの積極的な変更があります。 システムの信頼性は向上しています。攻撃者がAndroidデバイスにアクセスすることはますます難しくなっています。 SELinuxで使用され、カーネルの保護が強化されています。 さて、大胆不敵に、Androidアプリケーションが本当に安全になったと主張することができ、GoogleはGoogle Playのセキュリティを非常に真剣に考えています。

ただし、これはすべてのデバイスに当てはまるわけではなく、Google Playだけがアプリケーションのソースではありません。 たとえば、ドイツでは、他の多くの国と同様に、デバイスは多くの場合、独自のアプリケーションストアを持つ特定のオペレーターに関連付けられています。 セキュリティの面での品質は、必ずしもGoogle Playのレベルに対応するとは限りません。

サードパーティのアプリケーションに関しては、iOSと同じシステムがそこで使用されているため、Androidだけをここで非難することはほとんど不可能です：TestFlightがあり、HockeyAppがあり、開発者は追加の制御なしでテスターに​​配布するコードに署名できます。 一度に3,000人（TestFlightのテスター数の制限）が悪意のあるアプリケーションを受信できることがわかりました。



脱獄はどうですか？ これは深刻なセキュリティ上の脅威です。 おそらく、アプリケーション側での使用を一般的に禁止する必要がありますか？ または、ジェイルブレイクデバイスの所有者を他の方法で保護できますか？

このトピックは私にとって身近で興味深いものです！ PayPalに参加する前に、卒業証書を書いている間に脱獄しました。 一方では、ジェイルブレイクを使用すると、ユーザーはデバイスをより自由に制御できます。状況によっては、これを考慮に入れる必要がある場合があります。 それにもかかわらず、開発者がデバイスにルートアクセスがあるかどうかを判断し、すべてを禁止するのは非常に簡単です。 sudoから何かを実行できます。アプリケーションコードの署名の変更を確認できます。 これらすべてを見つける機会があります。Androidは一般にシンプルなシステムです。 ただし、iOSにも同じことが当てはまります。たとえば、Cydiaがインストールされているかどうかを確認できます。



もちろん、銀行業務アプリケーションを開発する際には、これらすべてを考慮します。 しかし、一部のユーザーは永続的にジェイルブレイクしたい、彼らはルートアクセスをしたいです。

はい、一部のアプリケーションでは、ジェイルブレイクが必須です。 たとえば、iOSなどでエミュレータを使用する場合。 銀行業務アプリケーションの場合、それはすべて、rootアクセスを使用するユーザーの数とそうでないユーザーの数に依存すると考えています。 セキュリティのために、その共有を放棄する必要がある場合があります。



CAPTCHAおよびその他のパスワードクラック検出方法についてどう思いますか？

画像認識技術は急速に改善されています。 もちろん、マシンはCAPTCHAを読み取ることはできませんが、すでに数百人が読み取ることができます。 したがって、このような保護方法は避けるか、追加の手段としてのみ使用する必要があります。 一般的に、ほとんどのCAPTCHAユーザーは非常に不満を抱いており、率直に言って、期待されていることに応えることができません。



私はあなたに同意します。 信頼性の高い検証ツールとは見なせないため、毎日簡単にクラックできます。 「あいまいさによるセキュリティ」の概念についてどう思いますか？SSL / TLSなどの有名なアルゴリズムがありますが、いつでも独自のものを追加できます。そのような保護をアプリケーションに適用することをお勧めしますか？

もちろん。 まず、 ProGuardなど、コードを難読化する自動化された方法があります。 次に、サーバーと対話するときに独自のクライアント証明書を使用できます。 さらに、EventBusメッセージバスがあり、 ProtoBufプロトコルを使用して送信する場合、暗号化にはクラス仕様が必要なため、このデータをバイナリ形式で読み取ることは非常に困難です。 これらすべてを実装すると、システムはほとんど保護されます。

ただし、どのコードでも逆コンパイルできることは明らかであり、最も複雑な難読化でも、コードで何が起こっているのかを理解することは可能です。 したがって、私は通常、さまざまな方法でコードをできるだけ複雑にすることをお勧めしますが、同時に、残念ながら、ほとんど常にスマートな人がいて、何が何であるかを理解することを覚えておいてください。



PayPalとのパートナーシップは多くの人にとって興味深いものです。 技術的な実装の可能性は何ですか？

もちろん、開発者にはSDKがあります。 しかし、IT業界、銀行、大企業について話すと、可能性は広がります。 ここでの良い例は、Microsoft Xboxです。 PayPalは、APIへのアクセスを通じてXbox Liveに直接統合されています。 大規模なパートナーの場合、APIへのアクセスを提供する準備ができています。



PayPalでScalaを使用していますか？ それに切り替える計画はありますか？

いいえ、ネイティブJavaを使用します。 Scalaが悪い言語であることではありません。 Javaを知っている資格のあるエンジニアを見つけるのは簡単です。 かつて、ほとんどすべてのPayPalはC ++およびJavaで作成されていましたが、現在はNode.jsともちろんJavaScriptを使用しています。 その結果、バックエンドは非常に柔軟です。 PayPalはSaaSサービスであり、そのインフラストラクチャの大部分はAPIを使用するように調整されています。 必要に応じて、チームはGoでプロジェクトを書くことができます-私たちの会社では、Python、ELAN、Haskellで、あなたが望むように、それを積極的に使用しています。 ただし、AndroidではネイティブJavaを使用します。

GoogleにはScalaや他の代替言語を宣伝しない正当な理由があると思います。 たとえば、 Dartがあり 、MicrosoftはTypeScriptを持っています。 しかし、Windows PhoneはTypeScriptをサポートしておらず、AndroidでScalaもサポートしていません。 実際のところ、これらの言語はまだ完全には成熟していないと思います。 Googleが一般的にScalaを宣伝するという確信はありません。 はい、紛れもない利点はJVM上で動作することですが、Dartは依然として独自の開発です。

この場合、Appleは自国の言語に自信を持っているため、プラットフォームとして選択するので、要約すると、AndroidのScalaよりもiOSのSwiftを使用したいということです。