1

我们的团队会抓取网站以使我们的信息保持最新。我在抓取 HTTPS 页面时遇到了安全异常。问题是 Java 在接受来自页面的自签名证书时遇到问题。

我没有保留要接受的证书列表(将来可能难以维护),而是使用 neu242 提供的解决方法来禁用 SSL 证书验证

public static void disableCertificateValidation() 
{
    // Create a trust manager that does not validate certificate chains
      TrustManager[] trustAllCerts = new TrustManager[] { 
        new X509TrustManager() {
          public X509Certificate[] getAcceptedIssuers() { 
            return new X509Certificate[0]; 
          }


        @Override
        public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException
        {
            // TODO Auto-generated method stub

        }
        @Override
        public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException
        {
            // TODO Auto-generated method stub

        }
      }};

      // Ignore differences between given hostname and certificate hostname
      HostnameVerifier hv = new HostnameVerifier() {

        @Override
        public boolean verify(String arg0, SSLSession arg1)
        {
            // TODO Auto-generated method stub
            return true;
        }
      };

      // Install the all-trusting trust manager
      try {
        SSLContext sc = SSLContext.getInstance("SSL");
        sc.init(null, trustAllCerts, new SecureRandom());
        HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
        HttpsURLConnection.setDefaultHostnameVerifier(hv);
      } catch (Exception e) {}
}

当然,这会带来重大的安全风险。但是,如果我只将此代码与我的下载程序(下载图像和 pdf 文档的程序)一起使用,并且我没有使用该程序发送任何敏感信息,那么存在哪些安全风险?据我了解,此信任管理器将仅为正在运行的 JVM 设置(运行该程序的服务器不会在操作系统级别禁用证书验证)。此外,如果我对图像和文档的请求被截获,我的代码将尝试将响应分别形成图像或 pdf,并且不会启动任何恶意软件。我在某处遗漏了安全风险吗?

4

3 回答 3

5

您面临的风险是恶意服务器可能会将自己置于您和源服务器之间(这是一种中间人攻击)。换句话说,您会认为您从真实服务器接收文件,但实际上您会从盗版服务器接收文件。因此,这取决于文档的类型以及您对它们的处理方式...

于 2012-10-25T20:26:44.010 回答
0

您可以禁用证书验证。您的通信仍然是安全的,您只是无法验证服务器的身份。我没有看到任何问题。

于 2012-10-25T20:15:36.660 回答
0

唯一现实的“拦截”场景是客户端计算机在无线网络上的随机位置,例如咖啡店。由于您的抓取服务器显然不是,因此实际上禁用证书验证的风险为零。

于 2012-10-27T03:11:10.540 回答