阅读更多
本周一有一篇文章《HTTPS漏洞导致1500项iOS应用存在安全隐患》提到:约1500项iOS应用存在“HTTPS-crippling”漏洞,该漏洞存在于AFNetworking中。
引用
AFNetworking是一个流行的开放源代码库,使开发人员能够让联网功能集成到他们的iOS和OS X的产品。但是,它没有检查其SSL证书域名。

而SourceDNA(一个初创公司,它提供代码分析服务)再度发布报告称,使用低于刚刚发布的最新版本AFNetworking 2.5.3开发的苹果应用程序都可能容易影响,它可能允许黑客窃取或篡改数据,即使该应用程序受SSL(Secure Sockets Layer,安全套接层)协议保护。攻击者可以利用该漏洞使用任何有效的SSL域名证书,只要来自于受信任的证书颁发机构(CA)。

SourceDNA的创始人Nate Lawson称,“这意味着,咖啡店攻击者仍然可以窃 听私人数据或控制应用程序和互联网之间的SSL会话。”例如,可以假装是“Facebook.com”只是提出一个有效的SSL证书“sourcedna.com”。

Lawson预计超过25,000 iOS应用程序受影响。另外,为了防止黑客利用该漏洞,SourceDNA还没有透露受影响的iOS应用程序列表,但例如雅虎和微软的iOS应用程序,仍然容易受到该HTTPS漏洞的侵害。



SourceDNA也还提供了一个免费的搜索工具,供开发人员和终端用户查看他们的应用程序是否存在漏洞。不过,该公司建议开发者集成最新AFNetworking版本(2.5.3)到其产品中,以便在默认情况下启用域名验证。

消息来自:Ars Technica
  • 大小: 48.3 KB
0
0
评论 共 1 条 请登录后发表评论
1 楼 samm 2015-04-28 16:21
这不能说https本身有漏洞,只是ios上一个https的实现有漏洞。

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • 阿里程序员相亲被拒;用Python做直播竞答外挂|一周业界事

    任何一项技术出来,先被高估是惯例,而只有在其经历了泡沫破碎的低谷之后,才能迎来被市场所接受的成熟期。想必,区块链技术的发展亦是如此。而如今,则以区块链技术为支撑的虚拟货币最为世人关注。目前的市面上存在...

  • APT攻击基础科普

    APT这个词汇最早起源于:2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感信息的第一个警告,尽管没有使用“APT”这个名字。但 “先进的持续威胁”一词被广泛引用,2006...

  • 写给产品经理的技术书:客户端、服务端和交互相关技术

    产品经理有三大领域的技术是需要去攻克的,分别是:...IOS系统主要是应用在iPhone、IPad、itouch设备上的操作系统,安卓系统主要是应用在安卓智能手机上的操作系统。 1.2 面向人群不同: IOS系统面向的是中高层收...

  • 产品经理三大领域的技术

    产品经理有三大领域的技术是需要去攻克的,分别是:客户端相关技术、服务端...IOS系统主要是应用在iPhone、IPad、itouch设备上的操作系统,安卓系统主要是应用在安卓智能手机上的操作系统。 1.2 面向人群不同: I

  • 微信公众平台开发

    微信公众平台开发(80) 上传下载多媒体文件 ...一、上传多媒体文件公众号可调用本接口来上传图片、语音、视频等文件到微信服务器,上传后服务器会返回对应的media_id,公众号此后可根据该media_id来获取多

  • OSI第二层网络架构安全要素

    许多安全管理员多关注网络层和应用层的安全问题,经常会忽略Layer2网络架构(数据链路层),同时这也是网络安全和可靠性方面最容易被人忽视的一个方面。在本文中,我会向你展示如何修正交换机配置以及架构方面最常见...

  • 一波面经。。。

    美团2015校招面经-软件研发岗 (拿到offer) ...然后,第一题:给你两个字符串str1,str2,找出str2在str1中的...我一看题目心中暗喜,这个好做,好歹都写过求两个字符串的最长公共子串,求一个字符串的重复子串

  • Linux 就该这么学

    Linux 内核已经发展到了4.13版本号,并且 Linux 系统版本号也有数百个之多,但它们依旧都使用 Linus Torvalds 开发、维护的 Linux 系统内核。RedHat 公司也成为了开源行业及 Linux 系统的带头公司。 在讲课时,我...

  • 微信公众账号开发

    微信开发 微信公众平台开发(82) 天气预报 ...摘要: 在这篇教程中,我们将介绍如何在微信公众平台上开发天气预报功能。我们将使用中国天气网的...下面我们介绍主要的几个:国家根节点接口:http://flash.weather.c

  • 洛谷愚人节比赛.pdf

    洛谷愚人节比赛.pdf

  • ### 文章总结:北京迅为 iTOP-3568 开发板 Linux 系统开发和应用开发手册. **文档概述

    内容概要:本文档是北京迅为电子有限公司针对iTOP-3568开发板的Linux系统开发和应用开发手册,详细介绍了开发板在Linux系统下的配置与开发方法。手册涵盖Buildroot、Debian、Ubuntu等多个Linux发行版的系统开发笔记,涉及屏幕设置、待机和锁屏、显示颜色格式、分辨率和缩放、静态IP设置、Qt程序操作、开机自启、音频视频和摄像头开发、VNC和ToDesk远程控制软件安装等内容。同时,手册还提供了关于Buildroot编译常见问题的解决方案、U-Boot和内核开发细节,以及IO电源域的配置方法。手册不仅适用于初次接触嵌入式Linux系统的开发者,也适合有一定经验的研发人员深入学习。 适合人群:具备一定编程基础,尤其是对Linux系统和嵌入式开发有一定了解的研发人员,工作1-3年的工程师,以及希望深入了解嵌入式Linux系统开发的爱好者。 使用场景及目标:①帮助用户掌握iTOP-3568开发板在Linux系统下的基本配置与高级开发技巧;②指导用户解决Linux系统开发中遇到的常见问题;③为用户提供详细的编译和调试指南,确保开发板能

  • 基于MATLAB2020b的CNN-LSTM与GTO算法优化的电力负荷预测研究

    内容概要:本文探讨了基于MATLAB2020b平台,采用CNN-LSTM模型结合人工大猩猩部队(GTO)算法进行电力负荷预测的方法。首先介绍了CNN-LSTM模型的基本结构及其在处理多变量输入(如历史负荷和气象数据)方面的优势。随后详细解释了模型各层的功能,包括卷积层、池化层、LSTM层和全连接层的作用。接着讨论了超参数选择的重要性,并引入GTO算法来进行超参数优化,提高模型预测精度。文中展示了具体的MATLAB代码示例,涵盖了数据预处理、模型构建、训练配置等方面的内容。此外,还分享了一些实践经验,如卷积核配置、LSTM节点数设定等。 适合人群:从事电力系统数据分析的研究人员和技术人员,尤其是对深度学习应用于电力负荷预测感兴趣的读者。 使用场景及目标:适用于需要精确预测未来电力负荷的场合,旨在帮助电力公司更好地规划发电计划,优化资源配置,保障电网安全稳定运行。通过本篇文章的学习,读者可以掌握如何使用MATLAB实现CNN-LSTM模型,并学会运用GTO算法优化超参数,从而提升预测准确性。 其他说明:文章强调了数据质量和预处理步骤的重要性,指出高质量的输入数据能够显著改善预测效果。同时提醒读者注意模型训练过程中的一些常见陷阱,如避免过度拟合等问题。

  • TIG焊接工艺中二维电弧仿真的理论与程序实现

    内容概要:本文详细介绍了TIG(钨极惰性气体保护焊)二维电弧仿真的理论基础和程序实现。首先阐述了TIG电弧的本质及其在二维仿真中的数学描述,主要采用磁流体动力学(MHD)方程进行建模。接着展示了如何使用Python生成仿真所需的网格,并初始化温度场、速度场和电场强度等物理参数。随后,通过迭代求解MHD方程,逐步更新各物理量,最终得到电弧内部的温度、速度和电场分布情况。通过对仿真结果的分析,能够深入了解焊接过程中熔化和凝固的现象,从而优化焊接参数,提高焊接质量。 适合人群:从事焊接工程、材料科学及相关领域的研究人员和技术人员,尤其是对TIG焊接工艺感兴趣的学者。 使用场景及目标:适用于希望深入了解TIG焊接过程并希望通过仿真手段优化焊接参数的研究人员。目标是通过仿真更好地理解电弧行为,进而改善焊接质量和效率。 其他说明:文中还提到了一些实用技巧,如网格划分、边界条件设置、求解器选择等方面的注意事项,以及如何使用不同软件工具(如MATLAB、ParaView)进行数据可视化。此外,强调了多语言混合编程的优势,并提供了一些常见的调试和优化建议。

  • jenkins操作诶udrtyui897t86r5drctvghuiyft

    jenkins操作诶udrtyui897t86r5drctvghuiyft

  • 帆软本地打印插件FinePrint 8.0版本

    帆软本地打印插件FinePrint 8.0版本,适用于FineReport8

  • 基于TMS320F2812的光伏并网逆变器设计与MATLAB仿真及DSP代码实现

    内容概要:本文详细介绍了基于TMS320F2812 DSP芯片的光伏并网逆变器设计方案,涵盖了主电路架构、控制算法、锁相环实现、环流抑制等多个关键技术点。首先,文中阐述了双级式结构的主电路设计,前级Boost升压将光伏板输出电压提升至约600V,后级采用三电平NPC拓扑的IGBT桥进行逆变。接着,深入探讨了核心控制算法,如电流PI调节器、锁相环(SOFGI)、环流抑制等,并提供了详细的MATLAB仿真模型和DSP代码实现。此外,还特别强调了PWM死区时间配置、ADC采样时序等问题的实际解决方案。最终,通过实验验证,该方案实现了THD小于3%,MPPT效率达98.7%,并有效降低了并联环流。 适合人群:从事光伏并网逆变器开发的电力电子工程师和技术研究人员。 使用场景及目标:适用于光伏并网逆变器的研发阶段,帮助工程师理解和实现高效稳定的逆变器控制系统,提高系统的性能指标,减少开发过程中常见的错误。 其他说明:文中提供的MATLAB仿真模型和DSP代码可以作为实际项目开发的重要参考资料,有助于缩短开发周期,提高成功率。

  • 基于鲸鱼优化算法与深度极限学习机的回归预测模型(WOA-DELM)及其应用

    内容概要:本文详细介绍了如何结合鲸鱼优化算法(WOA)和深度极限学习机(DELM)构建回归预测模型。首先,文章解释了鲸鱼优化算法的基本原理,这是一种受座头鲸群体狩猎行为启发的元启发式优化算法。接着,阐述了深度极限学习机的工作机制,它结合了极限学习机的快速学习能力和深度学习的层次结构。随后,文章展示了如何使用时间窗法处理数据,并构建自动编码器和极限学习机的具体步骤。特别地,文中详细描述了如何利用鲸鱼优化算法优化自动编码器的输入权重与偏置,从而提高模型的预测性能。最后,给出了完整的代码实现,包括数据预处理、模型构建、优化和预测等环节。 适合人群:具备一定机器学习基础的研究人员和技术开发者,尤其是对时间序列预测感兴趣的从业者。 使用场景及目标:适用于需要高精度回归预测的任务,如金融数据分析、能源消耗预测等领域。主要目标是通过优化模型参数,提高预测的准确性。 其他说明:本文提供的代码示例详尽且易于修改,用户只需替换自己的数据路径即可复现实验结果。同时,文中还提供了调参的小技巧,有助于进一步提升模型表现。

  • ### 标题:【电动船舶充电通信协议】基于CAN的非船载传导式充电机与电动船舶间数字通信协议设计及应用

    内容概要:T/CIN 029—2024标准规定了非船载传导式充电机与电动船舶之间的数字通信协议,涵盖了一般要求、通信物理层、数据链路层、应用层、充电总体流程、报文分类、格式和内容等方面。该标准旨在确保电动船舶连接到直流电网时,充电机与电池管理系统(BMS)或船舶管理系统(SMS)之间的稳定通信。标准详细定义了各层的通信要求,如物理层的ISO 11898-1和SAE J1939-11规范,数据链路层的CAN扩展帧格式,以及应用层的参数组编号和传输协议。此外,还详细描述了充电的六个阶段(物理连接、低压辅助上电、充电握手、参数配置、充电和结束)的具体流程和涉及的报文格式,确保了充电过程的安全性和可靠性。 适用人群:从事电动船舶充电系统设计、开发、维护的技术人员及工程师;相关行业的研究人员;对电动船舶充电通信协议感兴趣的学者和专业人士。 使用场景及目标:① 为电动船舶充电系统的开发和优化提供技术依据;② 确保充电机与BMS/SMS之间的高效、可靠通信;③ 保障充电过程的安全性和稳定性,防止因通信故障导致的充电中断或事故。 其他说明:本标准由中国航海学会发布,适用于电动船舶连接到直流电网时的充电通信,为电动船舶行业的标准化发展提供了重要支持。标准中还包含了详细的故障诊断代码和报文格式,帮助技术人员快速定位和解决问题。

  • vue 基础语法使用心得

    vue 基础语法使用心得

  • 根据“意见”创新银发经济新模式.pptx

    根据“意见”创新银发经济新模式.pptx

Global site tag (gtag.js) - Google Analytics