Риски безопасности при отключении SSL-сертификации для программы Java

Наша команда сканирует веб-сайты, чтобы постоянно обновлять нашу информацию. Я столкнулся сисключения безопасности при сканировании страниц HTTPS, Проблема заключалась в том, что у Java была проблема с принятием самоподписанных сертификатов со страниц.

Вместо того, чтобы хранить список сертификатов для принятия (что может быть трудно поддерживать в будущем), я 'м, используя обходной путь, предоставленный neu242 дляотключить проверку сертификации SSL.

public static void disableCertificateValidation() 
{
    // Create a trust manager that does not validate certificate chains
      TrustManager[] trustAllCerts = new TrustManager[] { 
        new X509TrustManager() {
          public X509Certificate[] getAcceptedIssuers() { 
            return new X509Certificate[0]; 
          }


        @Override
        public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException
        {
            // TODO Auto-generated method stub

        }
        @Override
        public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException
        {
            // TODO Auto-generated method stub

        }
      }};

      // Ignore differences between given hostname and certificate hostname
      HostnameVerifier hv = new HostnameVerifier() {

        @Override
        public boolean verify(String arg0, SSLSession arg1)
        {
            // TODO Auto-generated method stub
            return true;
        }
      };

      // Install the all-trusting trust manager
      try {
        SSLContext sc = SSLContext.getInstance("SSL");
        sc.init(null, trustAllCerts, new SecureRandom());
        HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
        HttpsURLConnection.setDefaultHostnameVerifier(hv);
      } catch (Exception e) {}
}

Конечно, это создает значительную угрозу безопасности. Тем не менее, если яЯ только использую этот код с моей загрузочной программой (программой, которая загружает изображения и документы в формате PDF), и я 'Если я не использую программу для отправки конфиденциальной информации, какие существуют угрозы безопасности? Насколько я понимаю, этот диспетчер доверия будет установлен только для работающей JVM (сервер, на котором запущена программа, выиграл 'отключить проверку сертификата на уровне ОС). Кроме того, если мои запросы на изображения и документы были перехвачены, мой код попытается сформировать ответ в изображение или pdf, соответственно, и выиграл 'Запустить любое вредоносное программное обеспечение. Есть ли риск для безопасности?м где-то отсутствует?

Ответы на вопрос(3)

Решение Вопроса

Риск, с которым вы сталкиваетесь, заключается в том, что вредоносный сервер может оказаться между вами и исходным сервером (этос атакой «человек посередине»). Другими словами, вы ДУМАЕТЕ, что вы получаете документы с реального сервера, но на самом деле вы получите документы с пиратского сервера. Так что это зависит от типов документов и того, что вы делаете с ними ...

 Sal25 окт. 2012 г., 22:28
Да, это единственное, что я смог придумать. Документы являются стандартными руководствами пользователя и руководствами для приборов и других продуктов, но по какой-либо причине некоторые производители разрешают передавать их только по протоколу HTTPS.
 devsnd25 окт. 2012 г., 22:31
https это хорошая вещь! только концепция распространения сертификатов полностью нарушена ...

му безопасным, вы просто не сможете подтвердить подлинность сервера. Я нене вижу никаких проблем.

 user20742126 окт. 2012 г., 04:18
Вы "дон»не вижу проблем " в обмене конфиденциальными данными с неизвестной стороной?
 Cratylus25 окт. 2012 г., 22:27
Связь будет в безопасности?
 devsnd25 окт. 2012 г., 22:30
это все еще будет зашифровано. но идентификация сервера больше не проверяется, поэтому возникает другая проблема безопасности.
 Andres Olarte26 окт. 2012 г., 19:22
Ну, онипытаемся ползти самоподписанные сертификаты. К этому моменту этоЭто уже неизвестная вечеринка. И он говорит, что этоне используется для отправки отправить конфиденциальную информацию. Исходя из этих параметров, я нене вижу никаких проблем. Сообщение все еще будет зашифровано.
 Sal25 окт. 2012 г., 22:36
@ Точно, но если яЯ пытаюсь сформировать ответы в формате PDF или изображения, есть ли риск запуска вредоносного программного обеспечения?

р находится в беспроводной сети в произвольном месте, например кофейня. Так как ваш сервер очистки, очевидно, нет, на практике нет никакого риска отключить проверку сертификата.

Ваш ответ на вопрос