導讀 :計算機軟件是由人類編寫的,是人類就一定會犯錯。但有些錯誤實在不該犯,Apple 就犯過這樣的低級錯誤。
本文講述了代碼中的一行是如何危及所有 Apple 設備的安全性。
“Bug”,這是一個讓大多數開發人員夜不能寐的單詞,這也是爲什麼當你和他們交談時,他們不斷地走神發呆,雙眼茫然凝視。雖然這有點悲哀,但事實並沒有那麼糟糕。軟件中的錯誤總是能被識別出來,而且是無法避免的,原因很簡單,因爲我們是人類,是人類就會犯錯。大多數漏洞都可以通過嚴格的 軟件測試 得以消除,但也有一些 “漏網之魚”。真正走紅的是那些愚蠢卻有害的漏洞。其中之一是 Apple 臭名昭著的代碼漏洞,非正式的說法是 “ goto fail ”,官方名稱爲 “ CVE-2014-1266”。
這一漏洞削弱了 Apple 設備驗證你所訪問的網站真實性的能力。這意味着你的 iPhone 無法區分真實銀行網站和冒名頂替者。
SSL:計算機如何驗證並信任互聯網上的其他計算機
在我們瞭解問題出在哪裏之前,我們需要了解 “ SSL ”(Secure Sockets Layer,安全套接層):該機制使計算機能夠信任並驗證互聯網上的網站。你的瀏覽器每次都會爲你執行此操作,看起來如下圖所示:
如今,所有的網站都使用 HTTPS (即帶有 SSL 的 HTTP)進行安全連接。這會迫使你訪問的網站出示 證書 以證明其真實性。然後,你的計算機將對照瀏覽器中的一組預加載密鑰對其進行驗證,以查看它是否由認證機構進行了數字 “ 簽名 ”。這種 “ 數字簽名” 利用了 非對稱加密算法的數學原理。如果計算正確,並且證明證書確實是由瀏覽器中的 數字證書認證機構 (Certificate Authority,CA)密鑰簽名的,那麼它就將爲你開綠燈,一切都很順利。沒有人能做到竊聽你的數據或劫持你的網絡會話。
原文鏈接:【https://www.infoq.cn/article/3TfOkxVc7jZVmX96Kx5U】。未經作者許可,禁止轉載。