Простой эксперимент, выполненный продавцом безопасности в Интернете Сукури, подчеркивает, что, спустя четыре года после выпуска инновационного исследования государства свидетельств SSL/TLS в области приложений небраузера, некоторые языки программирования не предоставляют разработчикам соответствующие инструменты, чтобы утвердить свидетельства.

Назад в 2012 команда ученых во главе с Мартином Георгиевым из Техасского университета показала, что различные клиенты API, написанные в PHP, Питоне или Яве, не проверили свидетельства правильно, главным образом потому что основные языки не включали надлежащие инструменты, чтобы сделать так.

Научно-исследовательская работа, названная «Самый Опасный Кодекс в Мире: Утверждение сертификатов SSL в программном обеспечении Небраузера», релевантно даже сегодня и витрины, что в простое наступление MitM можно пойти на инфраструктуру API и быть успешным в перехвате трафика HTTPS.

Так как этот трафик никогда не посылают в браузер непосредственно, но только его данные, пользователь приложения или веб-сервиса никогда не знает, что конфиденциальная информация выставлена нападениям.

PHP и Пайтон осуществили, фиксирует

После того, как бумага была выпущена, некоторые проблемы относительно проверок SSL/TLS были устранены на некоторых языках программирования, и более точно, в PHP с версией 5.6, и в Пайтоне с версиями 3.4.3 и 2.7.9.

Пересматривая это исследование четыре года спустя, эксперты по безопасности Сукури создали ряд испытательных сценариев, в PHP, Питоне, и Пойдите, который соединился со списком известных уязвимых серверов HTTPS и зарегистрировал их результаты видеть которые обнаруженный любые проблемы.

Результаты, изображенные ниже, показывают, что у еще более новых версий этих языков программирования есть проблемы в правильном определении государства свидетельства SSL/TLS и закрытия связей, если считается небезопасных.

Программным интерфейсам нелегко обнаруживать отменяемые свидетельства

Все проверенные конфигурации, даже на более новом языке программирования Движения, были не в состоянии обнаружить отменяемые свидетельства, которые открывают дверь для всех видов проблем.

«PHP, Питон и Google Go не выполняют проверок аннулирования по умолчанию, ни один не делает библиотеку ЗАВИТКА. Если свидетельство поставилось под угрозу и отменено владельцем, Вы никогда не будете знать об этом», отметил Питер Канковский Сукури.

«Написание Вашего собственного клетчатого кодекса аннулирования едва реалистично», объяснил Канковский также. «Вам был бы нужен квалифицированный шифровальщик для этой задачи».

Самая простая фиксация для этого вопроса должна модернизировать до последней версии тех языков программирования и всегда сохранять его тем путем. Кроме того, владельцы серверов должны последовательно использовать услуги как BadSSL.com, чтобы проверить любые API, с которыми они взаимодействуют, чтобы предотвратить отправку данных через необеспеченные каналы связи.

PHP, питон и Google Go Fail, чтобы обнаружить отменяемые свидетельства TLS Результаты испытаний Sucuri