當(dāng)我收到蘋果公司在“全球開發(fā)者會議”的演講活動的邀請函時(shí)，我的第一反應(yīng)是：“為什么邀請我呢?” 我是被公認(rèn)為搞安全的，這意味著只有在出現(xiàn)安全問題時(shí)我才會被邀請出來。但是在我看完邀請函后，我明白為什么了。

在蘋果公司的IOS和OS X系統(tǒng)被討論的眾多新特性中，兩個(gè)安全相關(guān)的問題被特別關(guān)注：iCloud鑰匙串和激活鎖;當(dāng)我看過這些功能的演示和接下來的時(shí)間里發(fā)布的一些新特性，我開始意識到蘋果公司正在向安全戰(zhàn)略靠近，這是我之前沒有想到的。

人為因素

蘋果公司因其將“專注于設(shè)計(jì)和用戶體驗(yàn)”為首要指導(dǎo)原則而出名，當(dāng)遇到安全問題時(shí)，就像是自找麻煩。所有的安全幾乎都是在為攻擊者設(shè)置重重障礙，但是同樣的不便也會帶給用戶(盡管有安全廠商的索賠)。

多年來，蘋果公司傾向于良好的用戶體驗(yàn)而遺留給用戶的是安全風(fēng)險(xiǎn)。

保護(hù)好你的密碼：重要的是他們保護(hù)我們和我們的設(shè)備，但他們又是一個(gè)最普遍被鄙視的東西(我曾經(jīng)到處找密碼)。

多年來，蘋果公司傾向于良好的用戶體驗(yàn)，而遺留給用戶的是安全風(fēng)險(xiǎn)，這一戰(zhàn)略實(shí)施了很長時(shí)間，部分原因是蘋果市場的占有率很低，不是被攻擊的目標(biāo)。但是，現(xiàn)在的蘋果產(chǎn)品正在普及，在安全市場上很多人想知道在如今被關(guān)注的位置下，蘋果會怎樣調(diào)整自身的安全策略。

事實(shí)上，蘋果公司不僅平滑的處理了變化，而且已經(jīng)接受了它。盡管開局不利，蘋果公司現(xiàn)在將其令人印象深刻的設(shè)計(jì)理念變得更安全，以自己的方式在過程中改變我們對安全和技術(shù)的預(yù)期。

務(wù)實(shí)的設(shè)計(jì)

雖然蘋果公司沒有說的那么明確，很明顯的是，一個(gè)重要原則引導(dǎo)他們談到安全問題：你越是阻止用戶去做一件事情，用戶就越有可能繞過安全措施。在公司的WWDC(全球開發(fā)者會議)主題演講中有三個(gè)很好的例子：

​iCloud鑰匙串：當(dāng)蘋果首次宣布此功能時(shí)，我感到很疑惑;為什么要添加一個(gè)密碼器來管理操作系統(tǒng)和默認(rèn)的瀏覽器呢?現(xiàn)在已經(jīng)有大量的第三方應(yīng)用程序已經(jīng)這么做了，而且這并不是一個(gè)可以讓用戶感到驚奇的功能。

然后我意識到蘋果其實(shí)是在解決現(xiàn)實(shí)世界中的安全問題，他試圖讓問題簡單的離開用戶，蘋果當(dāng)然不能夠阻止釣魚攻擊，但是它可以添加一個(gè)內(nèi)置的、基于云端的密碼管理器，這樣既降低了安全風(fēng)險(xiǎn)，又提高了用戶體驗(yàn)。這樣可以使用戶使用復(fù)雜、特定的密碼，這個(gè)密碼可以使用戶同步他們所有的設(shè)備(當(dāng)然，這里假設(shè)用戶只使用蘋果產(chǎn)品)。

正如我們在WWDC看到的，隨著安全特性深度集成在瀏覽器中，用戶不必管理插件或者額外的點(diǎn)擊按鈕來決定什么時(shí)候該使用這個(gè)工具，在用戶需要它的時(shí)候就會自動彈出來，這樣比手動輸入一個(gè)密碼看起來更容易使用。這種更人性化的設(shè)計(jì)原則，不僅解決了安全問題，而且還增強(qiáng)了用戶體驗(yàn)。

無需安裝額外的軟件或插件，也不用記住點(diǎn)擊哪些按鈕，iCloud鑰匙串用來增強(qiáng)用戶安全可能不是足夠好，但是它將密碼管理權(quán)交給了用戶。

激活鎖：世界各地偷竊蘋果設(shè)備的案件接連不斷，雖然我們可能會責(zé)怪蘋果公司做出如此令人滿意的產(chǎn)品，但是蘋果公司顯然是不愿意看到人們在公眾場所因?yàn)榭謶直I竊而不得不隱藏他們的設(shè)備。手機(jī)運(yùn)營商可以通過拒絕激活被盜的手機(jī)而大大的減少盜竊案(每臺蜂窩設(shè)備都有獨(dú)一無二的硬件ID)，但是到目前為止，他們一直行動緩慢。即使國內(nèi)運(yùn)營商創(chuàng)建注冊表項(xiàng)，但是并不是國外運(yùn)營商也能這么做，并且還會有壞人把設(shè)備偷渡到海外。

激活鎖使得決定權(quán)不在運(yùn)營商手中，而是在實(shí)施一個(gè)全球性的解決方案，除非有新的黑客技術(shù)，否則手機(jī)一旦被盜，手機(jī)和iCloud都將無法使用，除了擁有一個(gè)免費(fèi)的iCloud賬戶外用戶不必做任何事情，沒有載波鎖定、登記、注冊工作，沒有其它障礙來阻止使用它，該特性減少了對消費(fèi)者使用額外的成本來防止設(shè)備被盜。

所以，在此重申一遍，蘋果公司是在解決現(xiàn)實(shí)世界遇到的問題，而且不影響用戶的體驗(yàn)(也許只有時(shí)間會證明它是有效的)。

守護(hù)者和Mac App商店：我之前寫過的一篇文章，守護(hù)者具有沙盒、App 商店、代碼簽名等技術(shù)，大大的減少了用戶被誘導(dǎo)安裝惡意軟件。這是基于終端沙盒技術(shù)和依賴于IOS的App商店來成功實(shí)現(xiàn)的，在IOS平臺阻止了大量的惡意程序的出現(xiàn)。

再次，蘋果公司解決用戶端的問題，它不依賴于深度的安全技術(shù)使得目標(biāo)可以被欺騙繞過，相反，通過推動用戶依賴于App商店和提供強(qiáng)有力的激勵(lì)措施(比如簡單易用的更新和免費(fèi)的升級)，蘋果減少了用戶從其它地方下載App，從而減少了安全風(fēng)險(xiǎn)，蘋果公司的守護(hù)者可以讓用戶不會偶然的下載不信任的應(yīng)用程序。

這種方式挫敗了惡意軟件的攻擊并最低限度的影響用戶體驗(yàn)，大多數(shù)用戶不用考慮他們使用的程序是從哪里來的或者是否安裝了不良的程序。

讓安全問題消失不見和務(wù)實(shí)的設(shè)計(jì)

你會在蘋果公司的其它地方看到同樣的處理方式：

通過使用FileVault2，為用戶提供全磁盤加密來保護(hù)丟失的筆記本電腦，同時(shí)，如果用戶不小心把自己鎖住了，該技術(shù)允許用戶安全、免費(fèi)的恢復(fù)他們的系統(tǒng)(而不會給國家安全局留下后門)。Xprotect提供無形的、基本的反惡意軟件來保護(hù)電腦，免去殺毒軟件等工具。除非用戶有明確的需求，否則在瀏覽器中的Java是自動被禁用的，最大限度的減少對Mac電腦的攻擊。IOS會很快的對所有應(yīng)用程序做強(qiáng)加密，同時(shí)做嚴(yán)格的隔離，有效的消除了大部分的攻擊形式。

這些嚴(yán)格的控制可能會阻礙一些技術(shù)先進(jìn)的用戶，包括一些安全廠商。但是他們確實(shí)是提供了一個(gè)安全的用戶體驗(yàn)，在過去的五年時(shí)間里有效的證明了這是正確的。

根據(jù)這些理念所一貫執(zhí)行的措施都是蘋果公司正在進(jìn)行的嘗試，在可能的情況下，使用安全策略來改善用戶體驗(yàn)也是可以實(shí)現(xiàn)的，另外，通過專注與設(shè)計(jì)，蘋果持續(xù)采用這些技術(shù)，所以，會使得蘋果產(chǎn)品越來越安全。

譯者按：

iCloud鑰匙串

這個(gè)新功能將會把同一個(gè)用戶的蘋果設(shè)備里的網(wǎng)頁密碼和wifi密碼等全部通過iCloud存儲到iCloud鑰匙串里面，它會同步到所有蘋果設(shè)備里面。

舉個(gè)例子：如果你拿著一臺iPhone去到朋友家里，然后蹭他家里的wifi，然后iCloud鑰匙串將會把這個(gè)wifi密碼保存到云里。如果這時(shí)候你將Macbook拿出來在他家辦公，那么這臺Macbook將會自動蹭他家的wifi，無須再搜索wifi和輸入密碼了。

激活鎖

該功能旨在降低蘋果設(shè)備的被盜率。

當(dāng)小偷準(zhǔn)備關(guān)閉iOS設(shè)備的“找到我的手機(jī)”功能，或者企圖刪除手機(jī)數(shù)據(jù)、重置系統(tǒng)時(shí)，會被系統(tǒng)要求輸入Apple ID和密碼。

由于小偷無法向以前一樣重置系統(tǒng)，被偷的設(shè)備流入黑市的可能性就很小了，這大大降低了小偷手中被盜設(shè)備的價(jià)值，也就降低了iOS設(shè)備被盜的幾率。

*本文由美國安全顧問公司Securosis安全研究員Rich Mogull撰寫，IDF志愿者張土豆翻譯，做個(gè)好人校驗(yàn)。