我的任务是编写一个网络抓取工具,以从仅支持 SSL 3/TLS 1.0 的网站中提取数据(截至 2019 年 12 月 28 日(。我这边有什么威胁吗?我能做些什么吗?
从理论上讲,由于您正在执行原本不会执行的代码,因此您正在增加攻击面。
话虽如此,如果您只是将站点的内容保存为文件,则缺少相同的加密类型不会使您面临任何已知的漏洞。SSLv3 的已知问题与对手解密所谓安全连接的能力有关;但是,如果您不发送任何机密(超出每个会话凭据(,则不会泄露机密。
话虽如此,从理论上讲,大量泄露的会话可以让攻击者深入了解您是否正在使用特定的随机方法来生成临时机密或其他类似情报。
这里还有一些关于其他威胁建模的提示性说明。
- 我们假设抓取事件不需要保持未检测和未披露状态。尽管如此,远程站点是否收到足够的常规流量,以至于抓取工具不会像拇指酸痛一样伸出来?
- 我们假设远程站点是友好的或中立的。如果它是由竞争对手或对手操作的,则此特定SSL版本的问题将是一个次要细节,但可能会加剧其他问题。
- 我们假设抓取整个网站不需要数千次或更多的访问。