我们正在开发一个符合OWASP ASVS检查表所需的ASP.NET项目。其中一个术语是“验证后端TLS连接失败是否已记录。”我无法找到实现此目的的方法,但客户正在抓住我们。有什么建议/参考吗?示例代码会更好。
以下是owasp事物的链接: http://code.google.com/p/owasp-asvs/wiki/Verification_V10
提前致谢。
答案 0 :(得分:2)
我同意这个措辞严厉。目前对ASVS进行了改造。来吧,帮助我们使事情更具体和可测试。
在您的实例中,TLS连接通常由操作系统代表应用程序和库代码进行维护,这些代码很少会做出任何真正的努力来判断TLS连接是否与它所说的相同。浏览器越来越警告他们的用户,但是库非常糟糕,应用程序在检查端到端错误并对连接状态做出明智的安全决策时会更糟糕。即使是像证书撤销这样的基本内容也应该毫无疑问,但是默认情况下很少有库启用它。
我们每天都会在手机应用程序中看到这一点 - 让大多数移动应用程序通过MITM代理进行连接是微不足道的,这些代理不提供任何用户反馈,表明连接不可信。
我希望看到这个要求:
“用户代理软件(移动应用程序,浏览器,Web服务,库)必须让最终用户清楚地知道连接不可信,并且拒绝连接,或要求用户干预建立一个不安全的连接。应记录这种失败或不安全的连接。“
这将确保 - 无论是操作系统,库还是应用程序 - 有人拥有此交互,这是一个明确的安全目标(没有不受信任的连接),一个有利于安全的可用性控制,最后一个检测控制,如果用户做出非常糟糕的选择,允许事件前监控和事故后重建(因为我们知道他们总是有机会)。
我知道这本身并没有回答你的问题,但你没有提到你是否使用OpenSSL或WCF ......如果你让我知道你的平台,我很乐意提供一个代码片段。我喜欢。