亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　安全套接層協(xié)議(SSL)是現(xiàn)代互聯(lián)網(wǎng)上的一種根本性技術(shù)，讓傳輸中數(shù)據(jù)能夠進行加密、安全傳輸。不過據(jù)Tony Trummer和Tushar Dalvi這兩位安全研究人員聲稱，許多大受歡迎的移動應(yīng)用程序并沒有合理地實施SSL。

　　Trummer和Tushar都是供職于知名職業(yè)社交網(wǎng)站LinkedIn的安全研究人員，他們在近日召開的Defcon安全大會的一場分會上詳細介紹了發(fā)現(xiàn)結(jié)果。這項研究并沒有得到其雇主(LinkedIn公司)的資助或贊助，而是利用他們倆自己的時間開展完成的。

　　這兩位研究人員發(fā)現(xiàn)，在他們在iOS和安卓平臺上測試的許多移動應(yīng)用程序中，應(yīng)用程序開發(fā)人員禁用了證書機構(gòu)(CA)的驗證機制。而這種驗證機制卻是確保SSL證書真實而有效的的最佳實踐。

　　核查CA

　　Trummer和Tushar認為，只要利用簡單的測試，就能核查是否與CA取得了聯(lián)系。他們建議，研究人員應(yīng)該安裝BurpSuite軟件(http：//portswigger.net/burp/)，這個網(wǎng)站應(yīng)用程序安全測試工具箱既有免費版，也有收費版。Burpsuite可以用作網(wǎng)站流量的代理，為每個主機生成CA簽名的證書。

　　可以配置裝有移動應(yīng)用程序的最終用戶設(shè)備，以便指向該代理。要是來自該設(shè)備的安全SSL流量仍能夠通過，這就表明CA驗證機制沒有在正常工作。

　　核查主機名稱

　　就SSL而言，這點也很重要：證書名稱與所聯(lián)系的那個網(wǎng)站的名稱相一致。為了測試已落實了相應(yīng)的主機名稱核查機制，可以為有別于所測試的目標域的域獲得一份有效證書。

　　Trummer和Tushar都建議，隨后應(yīng)該配置BurpSuite，以便使用測試證書。要是來自移動應(yīng)用程序的安全SSL流量仍能夠通過，那么這表明可能存在問題。

　　Trummer特別指出，還有一些應(yīng)用程序發(fā)送敏感的信息，比如信用卡數(shù)據(jù)，卻根本沒有任何SSL或加密機制。他表示，移動應(yīng)用程序的開發(fā)人員需要接受培訓，了解怎樣才能合理地實施SSL安全技術(shù)。他補充說，廠商們應(yīng)該落實相應(yīng)政策，確保傳輸中數(shù)據(jù)得到了保護。

　　Trummer建議，安卓開發(fā)人員尤其要注意移動應(yīng)用程序代碼中的TrustManager、SSLSocket和HostName Verifier這些屬性。

　　對iOS開發(fā)人員而言，需要特別注意和認真檢查的幾個方面是現(xiàn)代應(yīng)用程序代碼中的_AFNETWORKING_ALLOW_INVALID_SSL_CERTIFICATES_、SetAllowsAnyHTTPSCertificate和kCFStreamSSLAllowsAnyRoot這些函數(shù)。