Mam sytuację, w której klient wykonuje wywołanie przez zwinięcie do adresu URL https. Certyfikat SSL adresu URL protokołu https jest samopodpisany, dlatego funkcja zwijania nie może przeprowadzić sprawdzania poprawności certyfikatu i kończy się niepowodzeniem. curl udostępnia opcję -k/- insurec, która wyłącza sprawdzanie poprawności certyfikatu. Moje pytanie jest takie, że przy użyciu opcji --insecure przesyłanie danych odbywa się między klientem a serwerem zaszyfrowanym (tak jak powinno być w przypadku adresów URL https)? Rozumiem ryzyko bezpieczeństwa z powodu nieudanego sprawdzania poprawności certyfikatu, ale w przypadku tego pytania niepokoi mnie tylko to, czy transfer danych jest szyfrowany, czy nie.Niepewna blokada opcji
15
A
Odpowiedz
22
Tak, przesłane dane są nadal wysyłane w postaci zaszyfrowanej. -k
/--insecure
"sprawi, że" sprawdzi się tylko "curl
, nie wyłączy SSL razem.
Więcej informacji na temat tej sprawy jest dostępna pod adresem:
Powiązane problemy
- 1. Blokada i blokada Reentrant z Javą
- 2. Niepewna zawartość w iframe na bezpiecznej stronie
- 3. Szyny 3 blokada stołu
- 4. Jak głęboka jest blokada?
- 5. Minimalna blokada hashtable wątku?
- 6. Blokada metody C#
- 7. Blokada asynchroniczna niedozwolona
- 8. Blokada odblokowująca należąca do innego wątku java
- 9. Co dokładnie robi "blokada Mutex"?
- 10. Czy "blokada" zabiera czas procesora?
- 11. JPA: Jak działa blokada odczytu?
- 12. blokada wybudzenia pod zablokowana GCM_LIB
- 13. Wyłącznie blokada Socat do PTY
- 14. Blokada statyczna nie jest wywoływana
- 15. jaki jest cel Thread.holdsLock (blokada)?
- 16. uhonorowanie blokada obrotów w android
- 17. Błąd deszyfrowania: Blokada bloku uszkodzona
- 18. Blokada stołu MySql w PHP
- 19. Blokada SRW w pamięci współdzielonej
- 20. Co sprawia, że domena z domeną ajax jest niepewna?
- 21. Czy blokada muteksu dotyczy również wywoływanych funkcji?
- 22. Co to jest blokada optymistyczna w WZP?
- 23. java.lang.RuntimeException: blokada wybudzenia pod zablokowana C2DM_LIB
- 24. blokada pyton z-oświadczenie oraz timeout
- 25. Blokada kolejki usługi Azure blokowania PeekBatch Azure?
- 26. Android Uruchom inną aplikację, gdy blokada zadania
- 27. Wielowątkowa blokada odczytu/zapisu tekstu C#
- 28. Android śledzenia GPS i blokada wybudzenia
- 29. Zagnieżdżona blokada dla tej samej wydajności obiektu
- 30. Blokada systemu Windows Workstation programowo w C#
bardzo złą strategią; patrz [Najbardziej niebezpieczny kod na świecie: sprawdzanie poprawności certyfikatów SSL w oprogramowaniu nie przeglądarkowym] (http://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-bugs.html). – jww
@jww, niekoniecznie złe, jeśli znajdujesz się w sytuacji, w której nie kontrolujesz używanych certyfikatów (w tym przypadku z autopodpisaniem), ale nadal masz potrzebę testowania za pomocą zwijania. Zgadzam się, że używanie samopodpisanych certyfikatów bez instalowania łańcucha CA (tak jak w środowisku korporacyjnym) jest złym pomysłem, ale w dużych organizacjach często nie ma kontroli nad osobą, która pisze jakiś kod lub za pomocą interfejsu API. – ntwrkguru