Открыт код nogotofail, созданного в Google инструмента для выявления проблем с HTTPS
5 ноября 2014 года
Компания Google представила новый инструмент nogotofail для тестирования надёжности защищённых каналов связи на предмет использования некорректно настроенных соединений TLS/SSL, которые могут привести к применению известных видов атак или к непредвиденной передаче данных в открытом виде. По мнению разработчиков nogotofail, простого включения поддержки шифрования трафика недостаточно, так как неправильная настройка параметров защищённого соединения может свести безопасность на нет. Несмотря на предлагаемые в большинстве систем разумные настройки по умолчанию, присутствует обилие различных реализаций SSL/TLS и разработчики приложений часто необдуманно меняют настройки.
Nogotofail анализирует трафик между сервером и приложением, симулируя проведение MITM-атаки, для оценки наличия типовых пробоем с проверкой SSL-сертификатов, ошибок в библиотеках HTTPS и TLS/SSL, методов раскрытия данных в каналах SSL и STARTTLS. Nogotofail может быть запущен на транзитном узле или использован в качестве прокси. Код nogotofail написан на языке Python и распространяется под лицензией Apache.
Первичной задачей nogotofail является предоставление разработчикам приложений инструмента для удобной оценки защищённости каналов связи. Кроме того, вместе с nogotofail предлагается два клиентских приложения для Android и Linux, которые позволяют оценить общее состояние шифрования трафика на устройстве, изменить настройки и отследить возникновение проблем.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
