PluginOK 中间件安全解决方案
一、 概述
众所周知,IE 浏览器的 ActiveX 控件及 Chrome 浏览器的 NPAPI 插件作
为浏览器扩展的插件技术为丰富网页功能做出了巨大贡献,但其一直因为安
全性和稳定性原因备受非议,即使程序采用了数字签名和沙箱运行也无法完
全解除用户的担忧。同时这些插件一般是直接在浏览器进程中运行的,而一
些开发商发行的插件质量参差不齐,可能导致浏览器运行缓慢、甚至直接崩
溃。结果导致谷歌等公司索性在 2015 年直接取消了 Chrome 新版本对 NPAPI
插件的支持,随后 Firefox 浏览器也取消了 NPAPI 插件的支持,从而导致商
业领域原来大量采用了 ActiveX 控件和 NPAPI 插件的 B/S 信息化系统在新版
Chrome、Firefox 等浏览器中再也无法兼容运行,更急迫的是,微软已经官
方宣布 2022 年 6 月正式淘汰 IE,这些系统再无浏览器可用的窘迫局面即将
出现。针对这个迫切的需求,成都佐罗软件有限公司依靠长期的技术积累和
持续不断的艰苦攻关,成功研发出 PluginOK 中间件来作为替代 ActiveX 和
NPAPI 的技术解决方案,对 Windows XP 及以上版本操作系统、各品牌及主
流浏览器兼容性很好,为了中间件及之上运行的小程序安全性、稳定性、易
部署及易维护,设计实现了一整套自主可控的安全解决方案。
PluginOK 中间件承诺本身无任何木马或病毒特征等代码,无任何非授权
的网络请求,发布的程序可以自行在线提交到各杀毒软件公司进行验证,也
可以在线提交到 http://virscan.org/ 验证。
二、 方案
PluginOK 中间件的安全解决方案主要体现在以下几个方面:
1、程序发布时的文件数字签名及哈希校验机制(借鉴 ActiveX 及 NPAPI 的机
制);
2、额外引入小程序调用方的用户授权机制,针对每个调用方分配一个唯一
的用户 ID,同时针对每个小程序的连接会话生成一个有时间期限的安全校验的
Token,PluginOK 及小程序开发商都可以对 Token 中内容进行校验,校验通过才
提供正常的服务;
3、中间件主服务的前端请求重启、配置、卸载、移机(网络版)及小程序的安
装、升级请求中都需要做 Token 的安全校验,Token 可由打包工具生成,只有校
验合法才可执行正确的请求;
4、一旦发现某个小程序功能危害电脑安全或功能描述不符而被用户投诉确
认的,PluginOK 中间件在升级版中可对此小程序进行封杀;
5、一旦小程序开发商发现自己的小程序被非授权调用,可联系我们协助屏
蔽其非授权的使用;
6、如果所有功能都在浏览器中实现,其实也往往存在安全问题,很容易被
模拟网络协议攻击等,如果通过 PluginOK 中间件调用一些本地模块小程序来实
现增强安全认证,网页端再提供服务其实更安全,有些敏感数据不通过浏览器反
而更安全,毕竟所有浏览器内核源码,都来自于国外。
评论0
最新资源