大多数 SSL 证书签发错误的主要原因是软件错误
| 2019-10-15 09:47
最近的一项学术研究发现,软件错误和对行业标准的误解是大多数错误签发 SSL 证书的最主要原因,其所占比例高达所有错误事件的 42%。这项研究是由印第安纳大学布卢明顿分校信息与计算学院的一个团队撰写的,他们研究了 379 起 SSL 证书签发错误的实例,并总共发现了 1300 多个事件。
研究人员从公共资源收集了事件数据,例如 Mozilla 的 Bugzilla 跟踪器与 Firefox 和 Chrome 浏览器安全团队的网上论坛讨论区。该研究的目的是研究证书颁发机构(CA)如何遵守行业标准,以及 SSL 证书签发错误背后的最常见原因。
研究小组得出了一个结论,即“大多数错误签发 SSL 证书的事件都是由软件错误引起的”。
在他们分析的 379 个案例中,有 91 个(占 24%)是由 CA 的一个软件平台中的软件错误引起的,导致客户收到不兼容的 SSL 证书。
第二个最常见的原因是 CA 误解了 CA/B 论坛规则,或者 CA 不知道规则已更改,有 69 起案件是这种情况,占所有 SSL 证书签发错误事件的 18%。
而恶意根 CA 导致的问题数据占比排在第三位,有 52 个 SSL 证书签发错误案例(占所有分析事件的 14%)是 CA 故意作恶,为了利润而破坏了行业规则,比如他们会给中间人攻击者出售证书。
第四大最常见的原因是人为错误,有 37 例(占总数的 10%)。
第五位是操作错误,其中错误是由于 CA 的内部程序错误,而不是软件或人为错误,这占了 29 例,占所有案例的 8%。
第六个根本原因是“非最佳请求检查”,该术语描述了检查客户身份时所犯的错误,通常允许流氓客户假冒另一个实体,例如,恶意软件作者获得了 SSL 证书合法的公司。研究人员发现了 24 个此类事件,占所有 SSL 签发错误事件的 6%。
SSL 证书签发错误的第七个最常见的根本原因是“不正确的安全控制”,这是一个通用类别,其中包括所有 CA 被黑或失去对其基础结构的控制以允许第三方获得 SSL 证书的情况。
详情可以查看该研究报告:https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3425554
来源:开源中国
更多资讯
Python 脚本 bug 或导致上百篇论文出错
我们知道有多种文件排序方法,比如按字典顺序或按创建时间戳,我们从文件夹里看到的文件排序通常由文件系统决定,不同的操作系统有不同的排序。2014 年的一篇化学论文包含了一个 Python 脚本,其中有一个模块是根据文件的排序返回值,但 Python 并没有定义查询的文件顺序。
来源:solidot.org
详情链接:https://www.dbsec.cn/blog/article/5237.html
号贩子转战网络太猖獗:"3秒1刷"在医院官方平台抢票
随着网络预约挂号的普及,一些从前在医院窗口排队霸占号源,或者一天到晚疯狂拨打挂号热线的“号贩子”,转而使用订制的非法软件,通过攻击官方挂号平台抢号。近期,北京市东城区人民法院以破坏计算机信息系统罪判处高某等3名“号贩子”九个月至一年六个月有期徒刑。透过这起案件,一条线上贩卖医院预约号的非法产业链浮出水面。
来源:新华视点
详情链接:https://www.dbsec.cn/blog/article/5238.html
巴西将建立包含所有公民信息的大规模生物识别数据库
据外媒 Techspot 报道,巴西总统贾尔·博尔索纳罗已签署一项法令,以建立一个包含该国所有 2 亿公民个人信息的单一数据库。令人尴尬的是,一周前黑客在暗网拍卖一个据称包含 9200 万巴西公民详细信息的数据库。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5239.html
儿童信息网络泄露严重 日本法律界推动专门立法工作补短板
日本早在 2005 年就实施了《个人信息保护相关法》对个人信息实施保护,这一法律中有专门涉及儿童个人信息保护的内容。此外,日本各省厅和行业协会也根据该法制订了多个指导方针,如《关于业者应采取措施确保正确处理学校学生等相关个人信息的指针》、《个人信息保护相关法律学塾指针》等,相关指导方针从儿童个人信息保护的角度出发,重点要求在获取儿童个人信息前要充分进行说明,同时规定获取儿童个人信息要得到儿童监护人同意。
来源:法制日报
详情链接:https://www.dbsec.cn/blog/article/5240.html
(信息来源于网络,安华金和搜集整理)