56e70f90cbcc8c092f036d8005351fd9
56e70f90cbcc8c092f036d8005351fd9
56e70f90cbcc8c092f036d8005351fd9
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
К чему ведут ошибки защиты канала<br />
Некорректное использование SSL<br />
Самый распространенный класс ошибок — это<br />
некорректное использование SSL. Чаще всего оно<br />
связано со следующими причинами:<br />
• Невнимательность разработчика<br />
В процессе разработки используется различный<br />
тестовый код для ускорения процесса тестирования.<br />
И перед выпуском программы про этот код<br />
забывают.<br />
• Ошибки разработчика<br />
Разработчик может использовать различные<br />
библиотеки для работы с SSL, каждая имеет свою<br />
специфику, и ее нужно учитывать. Так, с переходом<br />
с библиотеки на библиотеку разработчик<br />
может неправильно выставить константу при<br />
инициализации или переопределить функцию на<br />
свою.<br />
• Отсутствие тестовой инфраструктуры у заказчика<br />
Данный пункт частично связан с предыдущим и<br />
приводит к тому, что разработчикам приходится<br />
идти на ряд ухищрений для проверки корректности<br />
работы приложения.<br />
Основные ошибки при работе<br />
с SSL:<br />
Отключение проверок (отладочное API)<br />
Некорректное переопределение стандартных<br />
обработчиков на собственные<br />
Неправильная конфигурация API-вызовов<br />
Слабые параметры шифрования<br />
Использование уязвимой версии библиотеки<br />
Неправильная обработка результатов вызовов<br />
Отсутствие проверки на имя хоста или использование<br />
неправильных регулярных выражений<br />
для проверки<br />
• Использование уязвимых фреймворков<br />
Часто для упрощения разработчики применяют<br />
различные фреймворки. Другими словами,<br />
используют чужой код, низкоуровневая часть<br />
которого часто скрыта и недоступна. Этот код также<br />
содержит уязвимости, о чем разработчик часто<br />
даже не догадывается. Особенно это актуально в<br />
свете активной кроссплатформенной разработки<br />
для мобильных устройств.<br />
14