大多數 SSL 證書籤發錯誤的主要原因是軟體錯誤
最近的一項學術研究發現,軟體錯誤和對行業標準的誤解是大多數錯誤簽發 SSL 證照的最主要原因,其所佔比例高達所有錯誤事件的 42%。這項研究是由印第安納大學布盧明頓分校資訊與計算學院的一個團隊撰寫的,他們研究了 379 起 SSL 證照籤發錯誤的例項,並總共發現了 1300 多個事件。
研究人員從公共資源收集了事件資料,例如 Mozilla 的 Bugzilla 跟蹤器與 Firefox 和 Chrome 瀏覽器安全團隊的網上論壇討論區。該研究的目的是研究證照頒發機構(CA)如何遵守行業標準,以及 SSL 證照籤發錯誤背後的最常見原因。
研究小組得出了一個結論,即“大多數錯誤簽發 SSL 證照的事件都是由軟體錯誤引起的”。
在他們分析的 379 個案例中,有 91 個(佔 24%)是由 CA 的一個軟體平臺中的軟體錯誤引起的,導致客戶收到不相容的 SSL 證照。
第二個最常見的原因是 CA 誤解了 CA/B 論壇規則,或者 CA 不知道規則已更改,有 69 起案件是這種情況,佔所有 SSL 證照籤發錯誤事件的 18%。
而惡意根 CA 導致的問題資料佔比排在第三位,有 52 個 SSL 證照籤發錯誤案例(佔所有分析事件的 14%)是 CA 故意作惡,為了利潤而破壞了行業規則,比如他們會給中間人攻擊者出售證照。
第四大最常見的原因是人為錯誤,有 37 例(佔總數的 10%)。
第五位是操作錯誤,其中錯誤是由於 CA 的內部程式錯誤,而不是軟體或人為錯誤,這佔了 29 例,佔所有案例的 8%。
第六個根本原因是“非最佳請求檢查”,該術語描述了檢查客戶身份時所犯的錯誤,通常允許流氓客戶假冒另一個實體,例如,惡意軟體作者獲得了 SSL 證照合法的公司。研究人員發現了 24 個此類事件,佔所有 SSL 簽發錯誤事件的 6%。
SSL 證照籤發錯誤的第七個最常見的根本原因是“不正確的安全控制”,這是一個通用類別,其中包括所有 CA 被黑或失去對其基礎結構的控制以允許第三方獲得 SSL 證照的情況。
詳情可以檢視該研究報告:https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3425554
來源:開源中國
更多資訊
Python 指令碼 bug 或導致上百篇論文出錯
我們知道有多種檔案排序方法,比如按字典順序或按建立時間戳,我們從資料夾裡看到的檔案排序通常由檔案系統決定,不同的作業系統有不同的排序。2014 年的一篇化學論文包含了一個 Python 指令碼,其中有一個模組是根據檔案的排序返回值,但 Python 並沒有定義查詢的檔案順序。
來源:solidot.org
詳情連結:https://www.dbsec.cn/blog/article/5237.html
號販子轉戰網路太猖獗:"3秒1刷"在醫院官方平臺搶票
隨著網路預約掛號的普及,一些從前在醫院視窗排隊霸佔號源,或者一天到晚瘋狂撥打掛號熱線的“號販子”,轉而使用訂製的非法軟體,通過攻擊官方掛號平臺搶號。近期,北京市東城區人民法院以破壞計算機資訊系統罪判處高某等3名“號販子”九個月至一年六個月有期徒刑。透過這起案件,一條線上販賣醫院預約號的非法產業鏈浮出水面。
來源:新華視點
詳情連結:https://www.dbsec.cn/blog/article/5238.html
巴西將建立包含所有公民資訊的大規模生物識別資料庫
據外媒 Techspot 報導,巴西總統賈爾·博爾索納羅已簽署一項法令,以建立一個包含該國所有 2 億公民個人資訊的單一資料庫。令人尷尬的是,一週前黑客在暗網拍賣一個據稱包含 9200 萬巴西公民詳細資訊的資料庫。
來源:cnBeta.COM
詳情連結:https://www.dbsec.cn/blog/article/5239.html
兒童資訊網路洩露嚴重 日本法律界推動專門立法工作補短板
日本早在 2005 年就實施了《個人資訊保護相關法》對個人資訊實施保護,這一法律中有專門涉及兒童個人資訊保護的內容。此外,日本各省廳和行業協會也根據該法制訂了多個指導方針,如《關於業者應採取措施確保正確處理學校學生等相關個人資訊的指標》、《個人資訊保護相關法律學塾指標》等,相關指導方針從兒童個人資訊保護的角度出發,重點要求在獲取兒童個人資訊前要充分進行說明,同時規定獲取兒童個人資訊要得到兒童監護人同意。
來源:法制日報
詳情連結:https://www.dbsec.cn/blog/article/5240.html
(資訊來源於網路,安華金和蒐集整理)
訂閱“Linux 中國”官方小程式來檢視
相關文章
- 公司網站證書錯誤怎麼解決,快速排除公司網站SSL證書錯誤網站
- SSL證書7大常見錯誤及解決方法!
- SSL證書常見的錯誤和解決辦法是什麼?
- 修改網站後提示證書錯誤,解決SSL證書問題的全面指南網站
- SSL證書七大常見錯誤及解決方法
- 高防上傳HTTPS證書出現“引數格式錯誤”報錯的解決辦法 – HTTPS SSL 教程HTTP
- WebService系列之Axis Https(SSL)證書校驗錯誤處理方法WebHTTP
- SSL錯誤ssl connect error 35的解決方案Error
- Request 驗證錯誤沒有返回錯誤資訊?
- easy_install 和 pip 安裝第三方包時發生的ssl證書錯誤
- 爬蟲代理ip出現401錯誤原因是什麼?如何修復錯誤?爬蟲
- 華為桌面雲報故障6033:SSL認證存在錯誤
- PbootCMS錯誤提示:執行SQL發生錯誤!錯誤:no such column: def1bootSQL
- jQuery Validate獲取驗證錯誤的數目jQuery
- Aliyun SSL 證書籤發&安裝
- javax.net.ssl.SSLEXception錯誤處理JavaException
- group by 引發的錯誤
- 寶塔安裝證書後http訪問錯誤HTTP
- 軟體開發重點放在重用上是錯誤的 - Grady
- 【常見錯誤】--Nltk使用錯誤
- iis7.5錯誤 配置錯誤
- 全球代理出現401錯誤原因是什麼?
- postfix 發信錯誤
- 執行SQL發生錯誤!錯誤:disk I/O errorSQLError
- psql: 錯誤: 致命錯誤: 對使用者“postgres“的對等認證失敗SQL
- 顯示驗證的錯誤資訊
- ssl證書無效的原因是什麼?
- 記錄一次根據錯誤資訊無法定位錯誤的錯誤
- PbootCMS執行SQL發生錯誤!錯誤:no such column: def1bootSQL
- PbootCMS 執行SQL發生錯誤!錯誤: no such table:ay_configbootSQL
- nginx 錯誤除錯Nginx除錯
- C中的匯流排錯誤和段錯誤
- 重寫 request 驗證 422 錯誤
- win10 ie瀏覽器證書錯誤怎麼解決_win10瀏覽器開啟出現證書錯誤修復方法Win10瀏覽器
- _findnext()除錯中斷,發生訪問錯誤,錯誤定位到ntdll.dll除錯
- ubuntu解決軟體安裝依賴錯誤Ubuntu
- 關於錯誤程式碼107(err_ssl_protocol_error)SSL 協議出錯的解決方案ProtocolError協議
- IDEA發生“Error:java: 錯誤: 不支援發行版本 5”錯誤的解決方案IdeaErrorJava