OpenSSL è abbastanza sicuro?

Naviga le tue risposte
2

Pianifichiamo di distribuire i server web Node.JS, a vantaggio degli I / O asincroni. I server https di Node.JS utilizzano le librerie OpenSSL.

Sembra che OpenSSL risolva le vulnerabilità regolarmente . Questo mi fa chiedere se dovrei spostare il livello SSL in un processo Java separato / qualcosa di più provato, che non avrà overflow del buffer e altre vulnerabilità.

Il repository di pacchetti Oracle Solaris pubblica solo non aggiornato rilascio , quindi la compilazione da sorgente sarebbe necessaria per l'installazione rapida.

Ci sarà naturalmente un ritardo tra la scoperta di discovery- > release- > la compilazione- > la distribuzione ai server in esecuzione. E costi / ritardi di amministrazione aggiuntivi nel caso in cui ci sia un problema con la compilazione.

  • Quanto sarà efficace l'aggiornamento degli aggiornamenti contro gli attaccanti? Che tipo di lavoro sarebbe necessario per l'aggressore, una volta identificata una vulnerabilità?
  • Raccomandi un approccio alternativo e più sicuro all'installazione del livello https?
  • Esiste una versione più vecchia e più stabile di OpenSSL che è ancora gestita e ha avuto un tempo più lungo per dimostrarsi sicuro?

Qualsiasi input sarebbe apprezzato, compreso un aiuto per ottenere questa domanda giusta.

Modifica: un paio di chiarimenti su come introdurre una libreria separata, se ciò dovesse accadere: la libreria separata sarebbe solo un'implementazione di un server https proxy, in un processo separato. Questa è un'implementazione nuova di zecca, quindi non cambieremo, preferiremmo semplicemente "non utilizzare" la libreria del server Node.JS https .

    
posta George Bailey 04.06.2012 - 17:27
fonte

3 risposte

7

Il fatto che apportino costantemente modifiche per migliorare la sicurezza è una buona cosa. Significa che stanno tenendo il passo con gli exploit e le patch di conseguenza. Questo è il tipo di cosa che vuoi vedere in una libreria di sicurezza. Solo perché una libreria non viene applicata spesso alle patch, non significa che non abbiano alcun problema. Potrebbe semplicemente significare che non li risolvono rapidamente o abbastanza spesso.

Per quanto riguarda la libreria stessa, sembra abbastanza diffusa, quindi penso che sarai al sicuro usando la versione più recente. L'uso di librerie diverse sembra introdurre molte complicazioni al processo di generazione e aggiornamento (che a sua volta può causare problemi di sicurezza) e probabilmente non acquisirai molta sicurezza passando.

    
risposta data 04.06.2012 - 17:33
fonte
1

Un'altra opzione sta scaricando il calcolo SSL in un proxy inverso come Sterlina . Ho usato Pound in passato e l'ho trovato molto facile da usare. L'ho usato solo per siti web tradizionali, quindi non so se funzionerà per te.

Una cosa carina di Pound è che puoi caricare approssimativamente il carico configurando più back-end.

    
risposta data 04.06.2012 - 20:35
fonte
0

È concettualmente possibile avere un'implementazione SSL priva di buffer overflow: è sufficiente utilizzare un linguaggio di programmazione che prevenga forzatamente i buffer overflow. Ad esempio, un'implementazione SSL interamente in Java. La virtual machine Java controlla sistematicamente i limiti dell'array prima di eseguire un accesso array; pertanto, nessun buffer sarà veramente traboccante. Invece, viene generata un'eccezione, interrompendo il thread offendente. L'effetto netto è che, in caso di bug in cui un buffer sarebbe stato sorvolato, l'utente malintenzionato non acquisisce una shell remota (ma il thread del server continua a bloccarsi).

Esiste una libreria crittografica Java pura chiamata bouncycastle . Altre risposte Stackexchange si riferiscono ad esso, tra cui, forse utilmente, uno su connessioni TLS .

Google trova anche questo , ma, sfortunatamente, sembra essere un vecchio progetto in stallo che si basa su alcune librerie esterne per la gestione dei certificati e queste librerie esterne sono non in puro Java; e i bug OpenSSL tendono ad essere comunque in quella parte.

    
risposta data 05.01.2013 - 23:53
fonte

Leggi altre domande sui tag

Che cosa significano due indirizzi IP che utilizzano lo stesso indirizzo MAC? Dove si trova il numero di versione in un certificato x 509 versione 1?