Zero
Dennis Nicolai Andersen, ZDNet [ulteriori modifiche]Un assurdo numero di CMS plugin e librerie PHP disattivare SSL/TLS convalida del certificato, e così facendo, stanno mettendo a milioni di utenti internet a grande rischio.
A peggiorare le cose, molti di questi plugin e librerie vengono utilizzate per stabilire connessioni a pagamento i server dei provider, connessioni attraverso cui poi trasmettere i dati sensibili o di gestire le transazioni finanziarie.
Questo importante, ma ancora poco noto problema di sicurezza, è stato scoperto e portato a ZDNet attenzione di Scott Arciszewski, Chief Development Officer presso Paragon Iniziativa di Impresa.
Il problema risiede nel come autori di CMS plugin e librerie PHP sono la configurazione del codice, e in particolare alcune cURL opzioni.
cURL è una comando-riga programma di utilità trovato su tutti i server di web hosting, che viene utilizzato per il trasferimento di dati da un server remoto. cURL uso è onnipresente nella web community di sviluppo, e molti CMS plugin e librerie PHP si usa per scaricare, inviare, caricare i dati al server remoto tramite il server di base della console, invece di aprire effettivo sessioni del browser per ogni connessione.
cURL supporta una serie di protocolli, come ad esempio l’apertura di connessioni via HTTP, FTP, SMTP, POP3, LDAP, e di più.
Per esempio, quando un plugin per WordPress che gestisce transazioni finanziarie “Processo di Pagamento #46,” utilizza cURL connessioni in background per caricare i vostri sensibili, dati della carta di credito per il pagamento server del provider. Questo di solito avviene attraverso cURL configurato per connessioni via HTTPS, per cui cURL gestisce anche il protocollo SSL/TLS certificato di convalida, un passo fondamentale nel fare in modo che si sta parlando di un legittimo server HTTPS.
Ma Arciszewski ha di recente scoperto che gli sviluppatori di molti CMS plugin e librerie PHP sono disattivazione cURL caratteristiche di sicurezza per quando cURL è utilizzato per scaricare o inviare i dati tramite connessioni HTTPS, come quelli di cui sopra.
Questo è un problema enorme, soprattutto per i casi in cui la curvatura è utilizzato per gestire le transazioni finanziarie e i dati sensibili.
Avendo tali connessioni negoziate via indebolito le connessioni HTTPS è un disastro in attesa di accadere, come si può permettere che gli attaccanti facilmente ingannare i siti web in download o l’invio di dati legittimi al server malevoli. Perché le due funzionalità sono disattivate, il sito di origine non innescare qualsiasi avvisi per gli utenti o i siti proprietari.
La maggior parte dei collaboratori sono la disattivazione di due importanti cURL impostazioni di sicurezza
Secondo Arciszewski, questo accade a causa di due cURL impostazioni che gli sviluppatori del CMS, plugin e librerie PHP disattivare scopo.
Il primo è “CURLOPT_SSL_VERIFYHOST”, che molti plugin e librerie impostato su “false” invece di “vero”.
Cosa questa impostazione significa che cURL non verificare l’URL host a cui si collega per scaricare o caricare i dati. Fintanto che il server remoto ha un certificato valido, firmata da un casuale Autorità di certificazione, come Let’s Encrypt o di Comodo, la URL del server può essere legitimate-site.com o malicious-site.com e il sito da cui la richiesta riccio nasce non si cura.
Il secondo cURL impostazione che molti sviluppatori di blocco “a curlopt_ssl_verifypeer”, che molti sviluppatori sono l’impostazione di “0” anziché il più sicuro “2” valore.
Questa impostazione significa che i siti web accetterà le connessioni di qualsiasi casuale server HTTPS, anche a coloro che utilizzano i certificati autofirmati.
“Questo si espone a estremamente banale man-in-the-middle,” Arciszewski ha detto in un rapporto pubblicato la scorsa settimana.
Questo non è un piccolo problema che può essere ignorato. Il problema è molto diffuso nella comunità PHP, in particolare.
Una rapida GitHub di ricerca per il primo e secondo impostazioni rivela centinaia di migliaia di progetti in cui gli sviluppatori sono disattivazione cURL certificato di convalida, tra cui centinaia di plugin per WordPress.
Una soluzione semplice è ora disponibile
Ma Arciszewski non è il tipico esperto di sicurezza che solo punti di problemi di fearmonger la sua strada in una reputazione. Egli, inoltre, offre una soluzione semplice.
Come Arciszewski ha sottolineato in un recente rapporto, e come la comunità PHP ha confermato in Reddit discussioni di questa settimana, il motivo principale per cui così tanti progetti sono disattivazione di queste due cURL caratteristiche perché, quando attivata, tendono a generare spaventoso errori relativi alla sicurezza sui server dei clienti. Per evitare di mettere in allarme i loro clienti, la maggior parte degli sviluppatori optare per trasformare quei due, mentre inconsapevolmente sapere cosa stanno realmente facendo.
Il motivo di questi errori, come Arciszewski, spiega, è che cURL deve verificare i certificati di remote server HTTPS con un elenco di noti e validi i certificati SSL/TLS.
Questo elenco di autentica Autorità di certificazione –organizzazioni autorizzate ad emettere SSL/TLS cert-è disponibile per il download in molti luoghi.
Purtroppo, alcuni servizi di web hosting non conservare questo tipo di lista, mentre molti store in diverse posizioni dei server, rendendo impossibile configurare cURL impostazioni per il CMS plugin e librerie PHP in un modo universale che funziona perfettamente su tutti i server.
Per risolvere questo problema, Arciszewski ha creato un custom PHP libreria denominata Certezza che si scarica questo file (cacert.pem) dalla home page cURL a intervalli regolari e host locale, garantendo siti web sempre aggiornato elenco di valido Certificato di Autorità.
Plug-in CMS, PHP e la libreria proprietari possono includere la libreria nei loro progetti, e quindi attivare i due cURL impostazioni nei loro progetti, senza doversi preoccupare di attivazione spaventare gli avvisi di sicurezza in seguito.
Sicuro, insicuro da scenario all’interno di una biblioteca all’interno di un’altra libreria che potrebbe sembrare insignificante, ma quando insicuro che viene utilizzato in centinaia di migliaia di progetti, che insignificante diventa un problema a livello di fissaggio e richiede anche qualcosa di semplice come il rilascio di strumenti migliori.
Arciszewski e la sua azienda, Paragonie, sono stati conosciuti per il rilascio di tali “strumenti migliori” negli ultimi anni, tutti open source e disponibile sul account di GitHub.
RELATIVI COPERTURA:
Circa il 62% di tutti i siti Internet esegui una nuova versione di PHP in 10 settimaneGoogle lancia il reCAPTCHA v3 che rileva il traffico cattivo senza l’interazione dell’utenteIETF approva la nuova internet standards to secure token di autenticazioneDodici dannoso librerie Python trovato e rimosso dal PyPIApple per ospitare 2.000 gratis codifica lezioni presso negozi Europei CNETPerché Kotlin sta esplodendo in popolarità tra i giovani sviluppatori di TechRepublicdi Web hosting provider di tre giorni, in media, per rispondere alle segnalazioni di abuso, Dopo due decenni di PHP, siti ancora esporre dati sensibili tramite la modalità di debugmaggior parte della contea di elezione siti web in 20 chiave swing states uso non-.gov domini
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0