Компания Google представила (http://googleonlinesecurity.blogspot.ru/2014/11/introducing-...) новый инструмент nogotofail (https://github.com/google/nogotofail) для тестирования надёжности защищённых каналов связи на предмет использования некорректно настроенных соединений TLS/SSL, которые могут привести к применению известных видов атак или к непредвиденной передаче данных в открытом виде. По мнению разработчиков nogotofail, простого включения поддержки шифрования трафика недостаточно, так как неправильная настройка параметров защищённого соединения может свести безопасность на нет. Несмотря на предлагаемые в большинстве систем разумные настройки по умолчанию, присутствует обилие различных реализаций SSL/TLS и разработчики приложений часто необдуманно меняют настройки.Nogotofail анализирует трафик между сервером и приложением, симулируя (https://github.com/google/nogotofail/blob/master/docs/gettin...) проведение MITM-атаки, для оценки наличия типовых пробоем с проверкой SSL-сертификатов, ошибок в библиотеках HTTPS и TLS/SSL, методов раскрытия данных в каналах SSL и STARTTLS. Nogotofail может быть запущен на транзитном узле или использован в качестве прокси. Код nogotofail написан на языке Python и распространяется (https://github.com/google/nogotofail) под лицензией Apache.
Первичной задачей nogotofail является предоставление разработчикам приложений инструмента для удобной оценки защищённости каналов связи. Кроме того, вместе с nogotofail предлагается два клиентских приложения для Android и Linux, которые позволяют оценить общее состояние шифрования трафика на устройстве, изменить настройки и отследить возникновение проблем.
URL: http://googleonlinesecurity.blogspot.ru/2014/11/introducing-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=41005
Вариант для распечатки
