Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
vatson
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 01.03.2009
Postitused: 36

Distributsioon: openSUSE
estonia.gif
postituspostitatud: 07.12.2009, 20:35  postituse pealkiri:  CVE-2009-3555 ja Apache+IDkaart  

Hiljuti ilmus lagedale OpenSSL turvanõrkus mis on seotud nn. "session renegotiation" võimalusega, ehk siis sessiooni parameetrite muutmisega sessiooni ajal. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555

Lahenduseks pakutakse hetkel siis seda et lülitame selle kahtlase renegotiationi lihtsalt välja. Probleem on selles, et kui Apache on seadistatud ID-kaardiga autentima ligikaudu nii nagu id.ee lehel õpetatakse, ehk siis mingis kataloogis on "SSLVerifyClient Require" siis selline konf kasutab justnimelt ssl session renegotiationit ja kui patch peale lasta siis ID-kaardiga autentimine enam ei tööta. Testisin seda oma serveriga (FreeBSD 7.2, Apache 2.213) ja nii ongi.

Ma ei näegi hetkel muud lahendust kui hakata oma veebirakenduste arhitektuuri kuidagi ümber mõtlema, mis on muidugi asi mida ma parema meeelega ei teeks. Kirjutan eelkõige sellepärast et olen suhteliselt üllatunud et ma sellel teemal kuskilt suurt kisa ei kuule tõusvat, mistõttu loodan et olen ikkagi millestki valesti aru saanud ja tegelikult on asja toimimasaamine triviaalne...


sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 08.12.2009, 09:51  postituse pealkiri:  (teema puudub)  

tõenäoliselt peaks selle probleemiga SK tugiteenuse poole pöörduma, tõenäoliselt on neil mingi lahendus olemas.. ja tulemustest võid muidugi siin ka kirjutada..

_________________
Image Image Image

vatson
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 01.03.2009
Postitused: 36

Distributsioon: openSUSE
estonia.gif
postituspostitatud: 18.01.2010, 22:45  postituse pealkiri:  (teema puudub)  

Minu käes teadagi võtavad kõik asjad umbes 100000 nädalat aega, aga ma lahendasin asja niimoodi et selle SSLVerifyClient osa tõstsin täitsa eraldi SSL virtuaalhosti mis jookseb "päris" rakendusega sama masina peal. Seal eraldi saidis siis loen kliendisertifikaadist andmed, salvestan need mingisse faili maha ja pärast "päris" rakenduses loen failist need vajalikud andmed. See muidugi eeldab selle SSL virtuaalhosti jaoks täiendavat IP aadressi ja SSL sertifikaati (laiale avalikkusele mõeldud rakenduse puhul rahaline kulu). Aga asi töötab. Ma ikka jätkuvalt imestan miks rohkemad inimesed selle häda üle ei kurda ehk millise lihtsama variandi ma kahe silma vahele jätsin. Või olen ma tõesti ainuke inimene kes Apaches id-kaardiga autentimist kasutab?

Don't force it, get a bigger hammer! ;)


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group