大多數 SSL 證書籤發錯誤的主要原因是軟體錯誤

最近的一項學術研究發現，軟體錯誤和對行業標準的誤解是大多數錯誤簽發 SSL 證照的最主要原因，其所佔比例高達所有錯誤事件的 42％。這項研究是由印第安納大學布盧明頓分校資訊與計算學院的一個團隊撰寫的，他們研究了 379 起 SSL 證照籤發錯誤的例項，並總共發現了 1300 多個事件。

研究人員從公共資源收集了事件資料，例如 Mozilla 的 Bugzilla 跟蹤器與 Firefox 和 Chrome 瀏覽器安全團隊的網上論壇討論區。該研究的目的是研究證照頒發機構（CA）如何遵守行業標準，以及 SSL 證照籤發錯誤背後的最常見原因。

研究小組得出了一個結論，即“大多數錯誤簽發 SSL 證照的事件都是由軟體錯誤引起的”。

在他們分析的 379 個案例中，有 91 個（佔 24％）是由 CA 的一個軟體平臺中的軟體錯誤引起的，導致客戶收到不相容的 SSL 證照。

第二個最常見的原因是 CA 誤解了 CA/B 論壇規則，或者 CA 不知道規則已更改，有 69 起案件是這種情況，佔所有 SSL 證照籤發錯誤事件的 18％。

而惡意根 CA 導致的問題資料佔比排在第三位，有 52 個 SSL 證照籤發錯誤案例（佔所有分析事件的 14％）是 CA 故意作惡，為了利潤而破壞了行業規則，比如他們會給中間人攻擊者出售證照。

第四大最常見的原因是人為錯誤，有 37 例（佔總數的 10％）。

第五位是操作錯誤，其中錯誤是由於 CA 的內部程式錯誤，而不是軟體或人為錯誤，這佔了 29 例，佔所有案例的 8％。

第六個根本原因是“非最佳請求檢查（non-optimum request check）”，該術語描述了檢查客戶身份時所犯的錯誤，通常允許流氓客戶假冒另一個實體，例如，惡意軟體作者獲得了 SSL 證照合法的公司。研究人員發現了 24 個此類事件，佔所有 SSL 簽發錯誤事件的 6％。

SSL 證照籤發錯誤的第七個最常見的根本原因是“不正確的安全控制”，這是一個通用類別，其中包括所有 CA 被黑或失去對其基礎結構的控制以允許第三方獲得 SSL 證照的情況。

詳情可以檢視該研究報告：https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3425554 

來源：開源中國

更多資訊

Python 指令碼 bug 或導致上百篇論文出錯

我們知道有多種檔案排序方法，比如按字典順序或按建立時間戳，我們從資料夾裡看到的檔案排序通常由檔案系統決定，不同的作業系統有不同的排序。2014 年的一篇化學論文包含了一個 Python 指令碼，其中有一個模組是根據檔案的排序返回值，但 Python 並沒有定義查詢的檔案順序。

來源：solidot.org
詳情連結：https://www.dbsec.cn/blog/article/5237.html 

號販子轉戰網路太猖獗:"3秒1刷"在醫院官方平臺搶票

隨著網路預約掛號的普及，一些從前在醫院視窗排隊霸佔號源，或者一天到晚瘋狂撥打掛號熱線的“號販子”，轉而使用訂製的非法軟體，通過攻擊官方掛號平臺搶號。近期，北京市東城區人民法院以破壞計算機資訊系統罪判處高某等3名“號販子”九個月至一年六個月有期徒刑。透過這起案件，一條線上販賣醫院預約號的非法產業鏈浮出水面。

來源：新華視點
詳情連結：https://www.dbsec.cn/blog/article/5238.html 

巴西將建立包含所有公民資訊的大規模生物識別資料庫

據外媒 Techspot 報導，巴西總統賈爾·博爾索納羅已簽署一項法令，以建立一個包含該國所有 2 億公民個人資訊的單一資料庫。令人尷尬的是，一週前黑客在暗網拍賣一個據稱包含 9200 萬巴西公民詳細資訊的資料庫。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5239.html 

兒童資訊網路洩露嚴重 日本法律界推動專門立法工作補短板

日本早在 2005 年就實施了《個人資訊保護相關法》對個人資訊實施保護，這一法律中有專門涉及兒童個人資訊保護的內容。此外,日本各省廳和行業協會也根據該法制訂了多個指導方針，如《關於業者應採取措施確保正確處理學校學生等相關個人資訊的指標》、《個人資訊保護相關法律學塾指標》等，相關指導方針從兒童個人資訊保護的角度出發，重點要求在獲取兒童個人資訊前要充分進行說明,同時規定獲取兒童個人資訊要得到兒童監護人同意。

來源：法制日報
詳情連結：https://www.dbsec.cn/blog/article/5240.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視