The most dangerous code in the world: validating SSL certificates in non-browser software

[sporaw]

AbstractSSL (Secure Sockets Layer) is the de facto standard for secure Internet communications. Security of SSL connections against an active network attacker depends on correctly validating public-key certificates presented when the connection is established. We demonstrate that SSL certificate validation is completely broken in many security-

Comments

[ram_scanner]

Кернинана, Ричи и Страуструпа по хорошему бы анафеме предать.

Чуть более 90% данных косяков из серии "я ебанут на всю голову и хочу выстрелить себе в ногу". И средство разработки вполне успешно дает выстрелить даже не переспрашивая, ибо все это недалеко ушло от if (foo = NULL) {...} и a = b+++c. Оставшиеся 10% это просто "у меня руки из жопы и я не читал документацию".

Прав был отец Вирт, ох прав...

[light_mechanic]

Хорошая статья, спасибо.
Кстати, согласен с предыдущим ораторам - гвозди в голову надо забивать программистам, которые добавляют в API переменную "ПРОВЕРИТЬ_ЛИ_МНЕ_СЕРТИФИКАТ_СЕРВЕРА" и при этом подразумевают что значение True(т.е. 1) означает "НЕТ" ( а чтобы сказать "ДА" нужно задать значение 2... )

[ondeloose]

Спасибо, это крутая работа!
Парни писали с огоньком -
“Tutorial: Disabling Certificate Validation in an HTTPS Con-
nection. . . Reply: Thank you very much. You solved my
biggest problem in the project.”

даже Lynx не забыли

[clms]

Отлично. Благодарю за наводку :)

[daivermaster]

Чувствуется рука эффективного манагера.
- Почему задержка транзакции ?
- Есть задержка проверки сертификата.
- Убрать задержку.

А то, что этап проверки сертификата является неизымаемой частью,
эффективного манагера не волнует.
Главное чтобы хомячок смог получить информацию или купить что-то раньше,
чем сможет отрефлексировать, что ему это нафиг не надо.

Спасибо.