Google發(fā)布了一個(gè)可以用來(lái)測(cè)試SSL/TLS加密連接的工具���,打開(kāi)應(yīng)用程序或設(shè)備容易受到中間人攻擊��。中間人是指能夠攔截和處理客戶端和服務(wù)器之間的流量����。
然而在實(shí)踐中,加密的SSL/TLS連接通?����?梢匀菀譓itM被獲得由于糟糕的客戶端配置或補(bǔ)丁庫(kù)所使用的軟件開(kāi)發(fā)人員在其應(yīng)用程序中實(shí)現(xiàn)這些協(xié)議���。谷歌Android安全工程師大多數(shù)平臺(tái)和設(shè)備安全是違約的,但是一些應(yīng)用程序和庫(kù)覆蓋默認(rèn)值是更糟糕的,在某些情況下我們看到平臺(tái)上犯錯(cuò)誤。作為應(yīng)用程序變得更加復(fù)雜,連接到更多的服務(wù),并使用更多的第三方庫(kù),它變得更容易引入這些類型的錯(cuò)誤���。
該工具創(chuàng)建和發(fā)布的谷歌稱為nogotofail�����,并在內(nèi)部使用了公司的工程師發(fā)現(xiàn)的SSL/ TLS實(shí)現(xiàn)應(yīng)用程序中的錯(cuò)誤���。這是GitHub星期二發(fā)布的一個(gè)新的開(kāi)源項(xiàng)目����。
