Categories
程式開發

Apple 最为臭名昭著的代码漏洞


导读 :计算机软件是由人类编写的,是人类就一定会犯错。但有些错误实在不该犯,Apple 就犯过这样的低级错误。

本文讲述了代码中的一行是如何危及所有 Apple 设备的安全性。

“Bug”,这是一个让大多数开发人员夜不能寐的单词,这也是为什么当你和他们交谈时,他们不断地走神发呆,双眼茫然凝视。虽然这有点悲哀,但事实并没有那么糟糕。软件中的错误总是能被识别出来,而且是无法避免的,原因很简单,因为我们是人类,是人类就会犯错。大多数漏洞都可以通过严格的 软件测试 得以消除,但也有一些 “漏网之鱼”。真正走红的是那些愚蠢却有害的漏洞。其中之一是 Apple 臭名昭著的代码漏洞,非正式的说法是 “ goto fail ”,官方名称为 “ CVE-2014-1266”。

这一漏洞削弱了 Apple 设备验证你所访问的网站真实性的能力。这意味着你的 iPhone 无法区分真实银行网站和冒名顶替者。

SSL:计算机如何验证并信任互联网上的其他计算机

在我们了解问题出在哪里之前,我们需要了解 “ SSL ”(Secure Sockets Layer,安全套接层):该机制使计算机能够信任并验证互联网上的网站。你的浏览器每次都会为你执行此操作,看起来如下图所示:

Apple 最为臭名昭著的代码漏洞 1

如今,所有的网站都使用 HTTPS (即带有 SSL 的 HTTP)进行安全连接。这会迫使你访问的网站出示 证书 以证明其真实性。然后,你的计算机将对照浏览器中的一组预加载密钥对其进行验证,以查看它是否由认证机构进行了数字 “ 签名 ”。这种 “ 数字签名” 利用了 非对称加密算法的数学原理。如果计算正确,并且证明证书确实是由浏览器中的 数字证书认证机构 (Certificate Authority,CA)密钥签名的,那么它就将为你开绿灯,一切都很顺利。没有人能做到窃听你的数据或劫持你的网络会话。

原文链接:【https://www.infoq.cn/article/3TfOkxVc7jZVmX96Kx5U】。未经作者许可,禁止转载。