0
我在shell上使用openssl來加密數據,並希望稍後在ObjC/C/C++程序的運行時解密數據。由於我無法使用openssl庫工作,因此我從程序的「控制檯」中調用openssl,並使用popen()將解密後的結果返回到字符串中。這很好,但我不知道這種方法是否安全因爲「內部」使用它。通過管道使用openssl是安全的嗎?
感謝意見或暗示,因爲我還沒有發現任何東西在網絡上還沒有有效...
馬蒂亞斯
A
回答
2
你可能暴露自己的一對夫婦更多的攻擊媒介,除此之外,它不是這比鏈接和使用OpenSSL庫要安全得多。
的程序,它就是你從POPEN運行可以通過argv的暴露更多的信息,如果你可以在命令行直接指定主要材料,做這樣的論點,這將通過的/ proc/<PID>被曝光/ cmdline(和ps/top/etc)。如果我要通過另一個進程解密並通過管道將其傳遞給另一個應用程序,那麼我最擔心的就是這些。作爲root用戶,如果您通過環境將密鑰材料傳遞給應用程序,他們也可以讀取/ proc/< pid & gt/environ,但如果他們是root用戶,那麼他們也可以執行各種其他惡意工作,不管使用哪種方法openssl(庫/二進制+管道),都可以容納你的東西。
還有一些其他的東西,比如用惡意代替openssl二進制文件,或者如果你讓popen/shell決定使用哪個openssl二進制文件,那麼在PATH中注入它,儘管如果他們能做到這一點,他們也可以得到通過更簡單的方法來保存密鑰材料和密文(或者他們可以替代或者LD_PRELOAD一個惡意的openssl庫,這樣可以很好地破壞動態鏈接到openssl)。窺探管道也是一樣,他們必須以root用戶或用戶身份運行。
簡而言之,如果你可以在不暴露任何敏感的情況下使用argv,那麼它的安全性不如使用OpenSSL庫的安全。是的,還有幾種方法可以控制你的東西,但是它需要它們以用戶的身份運行,無論如何都能夠控制你的東西(儘管它可能需要更多的努力) 。
相關問題
- 1. 通過自定義通道使用OpenSSL
- 2. OpenSSL線程安全嗎?
- 3. 通過安全通道的JMS?
- 4. 從安全的角度來看,管道是否認爲管道使用危險?
- 5. 命名管道的安全
- 6. Android - 使用k9mail的OpenSSL安全證書
- 7. 使用「不安全的」OpenSSL方法時的私鑰安全性
- 8. IPC安全命名管道
- 9. Powershell命名管道安全?
- 10. 管道緊縮成OpenSSL的
- 11. angular2 - 通過自定義管道使用全局服務
- 12. 管理員被禁用,因爲不安全的通道
- 13. 混合安全和不安全通道
- 14. 通過管道/ DUP2用C
- 15. 什麼是溝通渠道安全?
- 16. 使用管道進行過程通信
- 17. 無法通過Makefile使用shell管道?
- 18. 通過Visual Studio使用匿名管道
- 19. 通過命名管道使用服務
- 20. Scrapy:通過管道
- 21. 使用paypal html api是安全的嗎?
- 22. 管道輸入參數openssl
- 23. 通過網絡傳輸GetBitmapBits(),安全嗎?
- 24. 正則表達式匹配安全openssl和不安全openssl
- 25. 通過asp:UpdatePanel回發的Ajax部分更新是安全的嗎?
- 26. 這是安全使用不安全的協議嗎?
- 27. 我知道pantheios是線程安全的,但它是進程間安全嗎?
- 28. 通過NODE_ENV繞過安全性是否安全?
- 29. 如何通過Java管道通過tee管道telnet
- 30. 通過websocket登錄 - 這是安全的嗎?
我會推薦_not_,因爲Kjetil的回答中列出的原因。也許你可以打開另一個問題,並描述你在圖書館工作的困難? – 2011-01-24 14:12:01
感謝您的即時回答!我怎樣才能將新的問題鏈接到這個線程?簡單回答可能會在OT討論中結束。 – Matthias 2011-01-24 14:58:34