Ci sono ancora alcuni domini ssl contenenti il carattere nul a scopo di test?

1

Alcuni anni fa, c'era un bug con il controllo del nome host in ssl in modo che la connessione a www.paypal.com%00.thoughtcrime.org assomigliava a www.paypal.com a livello di certificato.

Il problema sembra essere finito per i browser web. Ma alcuni strumenti e librerie popolari utilizzano ancora const char * senza dimensione associata internamente per rappresentare i nomi di dominio.

Poiché www.paypal.com%00.thoughtcrime.org sembra non essere più disponibile, ci sono ancora alcuni server pubblici che hanno già configurato i server per i test?

    
posta user2284570 13.10.2015 - 15:22
fonte

1 risposta

4

Non esiste un "dominio SSL".

Non c'è alcun bug di gestione NUL in SSL, che è una specifica. Solo bug nelle implementazioni. Un sacco di bug . In questi bug, non c'era mai un carattere NUL nel nome host, solo nel certificato.

Implementazioni ampiamente utilizzate come OpenSSL ora proteggono da questo , ma il test è sicuramente ancora utile.

Tuttavia, il test non richiede la connessione a un sito Web. È possibile eseguire i test chiedendo all'implementazione di convalidare un certificato memorizzato localmente. Istruzioni e certificati di esempio sono disponibili dal 2009

    
risposta data 13.10.2015 - 18:23
fonte