3月28日消息，據(jù)國(guó)外媒體報(bào)道，近期發(fā)表的一篇研究論文稱，SaaS(軟件即服務(wù)，Software-as-a-service)交付應(yīng)用程序可能會(huì)導(dǎo)致數(shù)據(jù)的泄露。

這份由微軟研究院和印第安納大學(xué)學(xué)者發(fā)表的論文，提供了SaaS交付應(yīng)用程序的操作細(xì)節(jié)及其如何通過網(wǎng)絡(luò)導(dǎo)致“側(cè)通道”泄露，并可能引發(fā)嚴(yán)重的安全隱患的過程：即使在SaaS加密的情況下，攻擊者也可能獲取到最敏感的數(shù)據(jù)。

論文中稱：“明確地說，我們發(fā)現(xiàn)許多非常詳細(xì)而又敏感的信息正在通過醫(yī)療保健、稅收、投資及網(wǎng)絡(luò)搜索等備受關(guān)注的網(wǎng)絡(luò)應(yīng)用程序泄露出去。”

研究者表示，這種泄露情況并不是發(fā)生在每個(gè)SaaS應(yīng)用程序中，但其中一些泄露情況很嚴(yán)重。但SaaS應(yīng)用程序這種網(wǎng)絡(luò)化行為意味著即使在嚴(yán)格加密的環(huán)境下也會(huì)存在側(cè)通道漏洞。

論文中稱，“網(wǎng)絡(luò)應(yīng)用程序在瀏覽器和服務(wù)器之間被分開，所以其內(nèi)部的狀態(tài)轉(zhuǎn)換和數(shù)據(jù)交換都不可避免地經(jīng)過網(wǎng)絡(luò)。即使加密，一些基本的網(wǎng)絡(luò)應(yīng)用程序的特征，比如緩慢的無序輸出，有狀態(tài)的通信以及重要的通信特性，都可以導(dǎo)致側(cè)通道泄露真實(shí)隱私的信息。”

由于不同應(yīng)用軟件的弱點(diǎn)不同，SaaS供應(yīng)商和用戶將必須分別學(xué)習(xí)每個(gè)應(yīng)用程序的使用。研究者表示：“開發(fā)商首先要找到每個(gè)應(yīng)用程序的弱點(diǎn)，然后采取相應(yīng)的措施。這些努力需要對(duì)網(wǎng)絡(luò)應(yīng)用程序語言學(xué)，信息流和網(wǎng)絡(luò)通信模式進(jìn)行分析。”