Риски безопасности при отключении SSL-сертификации для программы Java
Наша команда сканирует веб-сайты, чтобы постоянно обновлять нашу информацию. Я столкнулся сисключения безопасности при сканировании страниц HTTPS, Проблема заключалась в том, что у Java была проблема с принятием самоподписанных сертификатов со страниц.
Вместо того, чтобы хранить список сертификатов для принятия (что может быть трудно поддерживать в будущем), я 'м, используя обходной путь, предоставленный neu242 дляотключить проверку сертификации SSL.
public static void disableCertificateValidation()
{
// Create a trust manager that does not validate certificate chains
TrustManager[] trustAllCerts = new TrustManager[] {
new X509TrustManager() {
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}
@Override
public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException
{
// TODO Auto-generated method stub
}
@Override
public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException
{
// TODO Auto-generated method stub
}
}};
// Ignore differences between given hostname and certificate hostname
HostnameVerifier hv = new HostnameVerifier() {
@Override
public boolean verify(String arg0, SSLSession arg1)
{
// TODO Auto-generated method stub
return true;
}
};
// Install the all-trusting trust manager
try {
SSLContext sc = SSLContext.getInstance("SSL");
sc.init(null, trustAllCerts, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
HttpsURLConnection.setDefaultHostnameVerifier(hv);
} catch (Exception e) {}
}
Конечно, это создает значительную угрозу безопасности. Тем не менее, если яЯ только использую этот код с моей загрузочной программой (программой, которая загружает изображения и документы в формате PDF), и я 'Если я не использую программу для отправки конфиденциальной информации, какие существуют угрозы безопасности? Насколько я понимаю, этот диспетчер доверия будет установлен только для работающей JVM (сервер, на котором запущена программа, выиграл 'отключить проверку сертификата на уровне ОС). Кроме того, если мои запросы на изображения и документы были перехвачены, мой код попытается сформировать ответ в изображение или pdf, соответственно, и выиграл 'Запустить любое вредоносное программное обеспечение. Есть ли риск для безопасности?м где-то отсутствует?