La sicurezza di PuTTY è stata esaminata?

4

Mi chiedo come PuTTY si accumula rispetto ad altre implementazioni di SSH in materia di controllo e sicurezza della sua implementazione del protocollo SSH2.

PuTTY è probabilmente il client SSH più usato sulla piattaforma Windows, quindi la sua importanza non può essere sottovalutata.

Sono consapevole che negli anni passati ci sono stati diversi attacchi molto furbi contro le implementazioni SSL / TLS (e, inoltre, contro i protocolli stessi, ma questo è un altro problema).

In questa luce, mi chiedo se qualcuno ha fatto del lavoro per convalidare / interrompere i client SSH sulla piattaforma Windows e se PuTTY va bene.

    
posta e_tothe_ipi 19.02.2015 - 08:55
fonte

2 risposte

4

Putty è open source, ci sono stati un certo numero di informali audit di sicurezza, alcuni dei quali hanno portato a report e patch di vulnerabilità.

Potrebbero esserci stati anche alcuni formal controlli di sicurezza commissionati dagli utenti del prodotto. Alcune ricerche hanno rivelato un po 'di prove non verificabili di tale, ma soprattutto:

Simon non fa pubblicità o fa riferimento ad alcun audit ufficiale del suo codice. Gli audit effettuati sono stati fatti da una parte privata, per una parte privata, e potrebbero non essere stati esaminati in modo tale da essere applicabili alle circostanze.

    
risposta data 19.02.2015 - 09:13
fonte
1

Da notare che quello che ho visto come fonte ufficiale di PuTTY è link del autore e manutentore Simon Tatham.

Purtroppo questa pagina non è disponibile su TLS e le firme GPG per i binari collegano a una pagina esterna, quindi c'è il serio rischio che qualcuno manchi la connessione quando si scarica il mastice potenzialmente inserendo codice dannoso o addirittura reindirizzandolo a un altro pagina per le firme.

Volevo sfogarmi su questa situazione per un lungo periodo in cui mi sono imbattuto in questa domanda, un software di sicurezza di alto profilo come PuTTY in realtà non dovrebbe essere distribuito su un semplice HTTP.

    
risposta data 23.09.2016 - 20:38
fonte

Leggi altre domande sui tag