Information Security
Network technologies
IT Standards
Development of communication systems
Comments 6
0

Очень интересный обзор. Но решение-то проблемы какое? Взять весь софт и переписать? Внимательнее читать документацию? Ну, не сработает. В результате имеем то, что имеем

0
Я вот как раз с неделю назад темой увлёкся, увидел заголовок обрадовался, но статья разочаровала если честно. Алармности много, «разбор уязвимостей» по тексту вообще нет. Перечитал добросовестно все указанные источники. Осталось впечатление второй свежести. В 2019 году приводить в качестве аргумента уязвимости тот факт, что в 2012 на SSL/TLS повсеместно забивали сами разработчики такое себе решение. Как и ссылаться на уязвимость TLS < 1.2 во времена повсеместного TLS 1.3. Но в любом случае спасибо — пара моментов из разряда смутных подозрений перешли в уверенность.
0

Мне показалось или основная проблема состоит в том что кодер (не разработчик, а "кодер" в худшем смысле этого слова) не понимает, что делает и из-за этого возникают проблемы.
Смысл кивать на библиотеки, которые "позволяют слишком много и слишком много нужно читать на них документацию".


Типично: "Я тут 3 месяца походил на курсы Java и теперь я программист".
И начинается потом "магия"… Магия SpringBoot, магия TLS, магия TCP/IP стека и прочая магия.

0

А потом магия внезапно кончается (мы же в инженерном мире) :-) и вся машинерия перестает работать. Наверное, нужно больше спайса :-)

0
Да, актуальность сомнительная…
Меня, например, заинтересовал момент с CURLOPT_SSL_VERIFYHOST.
И что же по этому поводу говорит документация CURL-a:
«When the verify value is 1, curl_easy_setopt will return an error and the option value will not be changed. It was previously (in 7.28.0 and earlier) a debug option of some sorts, but it is no longer supported due to frequently leading to programmer mistakes. Future versions will stop returning an error for 1 and just treat 1 and 2 the same.»
P.S. 7.28.1 Release date: Nov 20 2012
0
Что-то слишком много воды и фантастики типа «злоумышленники могут… (а кто ещё в этом сомневается?)». Где конкретика? Что вы понимаете под "процедура проверки SSL/TLS-сертификата, – и даже EV-SSL, сертификата с расширенной проверкой [4], – полностью провальная"? То, что либы доверяют списку ЦА из ОС? А вы предлагаете везде внедрять серт-пиннинг?
Only those users with full accounts are able to leave comments., please.