我们正在开发一个 ASP.NET 项目,该项目需要遵守 OWASP ASVS 清单。其中一个术语是“验证是否记录了后端 TLS 连接失败。 ”我找不到实现此目的的方法,但客户一直在坚持。有什么建议/参考吗?示例代码会更好。
这是 owasp 的链接: http ://code.google.com/p/owasp-asvs/wiki/Verification_V10
提前致谢。
问问题
720 次
1 回答
2
我同意这是措辞不好。目前正在对 ASVS 进行改造。来吧,帮助我们使事情变得更加具体和可测试。
在您的实例中,TLS 连接通常由操作系统代表应用程序和库代码维护,这些代码很少(如果有的话)真正努力验证 TLS 连接就是它在锡上所说的那样。浏览器在警告用户方面做得越来越好,但库非常糟糕,应用程序在检查端到端错误和对连接状态做出明智的安全决策方面更糟糕。即使是证书吊销之类的基本操作也应该是轻而易举的事,但很少有库默认启用此功能。
我们每天都在手机应用程序中看到这一点 - 让大多数移动应用程序通过 MITM 代理连接是微不足道的,这些代理不提供任何用户反馈连接是不可信的。
我希望看到这个要求是:
“用户代理软件(移动应用程序、浏览器、Web 服务、库)必须让最终用户清楚地了解连接是不可信的,并进一步拒绝连接,或要求用户干预以建立不安全的连接。连接。应记录此类失败或不安全的连接。”
这将确保 - 无论是操作系统、库还是应用程序 - 有人拥有这种交互,并且具有明确的安全目标(没有不受信任的连接),有利于安全的可用性控制,最后是检测控制如果用户做出非常糟糕的选择(因为我们知道他们总是有机会的话),允许事前监控和事后重建。
我知道这本身并不能回答您的问题,但您没有提及您是否使用 OpenSSL 或 WCF 或......如果您让我知道您想要的平台,我很乐意提供代码片段。
于 2013-02-04T04:07:36.923 回答