▲neo 9달전 | parent | favorite | on: GN⁺: 애플 컬 보안 사건 12604(daniel.haxx.se)Hacker News 의견 Apple의 특정 "기능"에 대한 비판 이 기능은 불필요한 계산을 추가하거나 기대하는 검증 모델을 깨뜨릴 수 있음. 사용자가 자신의 CA를 제공하려는 이유는 OS 번들에 CA가 없거나 특정 CA에 대해 검증하고자 함일 수 있음. Apple의 이러한 행동은 예상되는 결과가 아님. Apple 장치 소유자의 의도와 상관없이 Apple 정책이 우선됨 Apple 장치의 "소유자"가 원하는 것을 무시하고 Apple 정책이 우선되는 것은 놀랍지 않은 일반적인 현상임. libcurl의 CA 저장소 사용에 대한 설명 CURLSSLOPT_NATIVE_CA 옵션을 설정하면, libcurl은 운영 체제의 기본 CA 저장소를 사용하여 인증서 검증을 수행함. CA 인증서 파일이나 디렉토리를 설정한 경우, 이들은 기본 CA 저장소와 함께 검색됨. --cacert 옵션과 결합될 경우, libcurl은 두 설정을 모두 존중하려고 시도할 수 있으며, 이는 상호 배타적일 수 있음을 시사함. SQLite F_BARRIERFSYNC 사건과 유사한 상황 Apple이 관심을 가지지 않는 것처럼 보임. Daniel의 지적에 따른 curl의 수정 필요성 Daniel이 curl의 문제를 지적하면 Apple은 이를 수정해야 함. curl 문서의 문제점과 libcurl의 보안 결함 curl은 모든 프로토콜을 직접 구현하지 않고, 다양한 라이브러리를 지원함. 이러한 접근 방식의 단점은 독립적인 백엔드 간에 일관된 행동을 보장하기 어렵다는 것임. libressl은 openssl의 완벽한 재구현이 아니며, 그 API를 완전히 모방할 의무가 없음. curl은 해당 라이브러리에 대한 지원을 중단하거나 문제를 문서화하는 두 가지 선택지가 있음. 사용자 코드를 깨뜨리는 것을 피하기 위해, 적어도 문제를 문서화해야 함. libressl의 접근 방식이 보안 측면에서 결함이 있으며 CVE를 개설할 이유가 있을 수 있음. macOS에 포함된 소프트웨어에 대한 불신 MacPorts를 사용하여 macOS에 포함된 도구들을 덮어씀(예: curl), 이는 종종 오래되거나 문제가 있기 때문임. Apple의 기본 행동이 백도어로 간주될 수 있음 의도적이거나 악의적이라고 말하는 것은 아니지만, 사실상 백도어로 작용할 수 있음. 사용자의 인증 체계에 키를 추가하는 것은 백도어를 추가하는 것과 같음. Apple이 사용자의 보안을 중요시하지 않는 것에 대한 비판 기본 행동과 대체 행동은 다름. Apple의 보안 팀이 읽기 이해력에 문제가 있을 수 있음을 시사함.
Hacker News 의견
Apple의 특정 "기능"에 대한 비판
Apple 장치 소유자의 의도와 상관없이 Apple 정책이 우선됨
libcurl의 CA 저장소 사용에 대한 설명
CURLSSLOPT_NATIVE_CA옵션을 설정하면, libcurl은 운영 체제의 기본 CA 저장소를 사용하여 인증서 검증을 수행함.--cacert옵션과 결합될 경우, libcurl은 두 설정을 모두 존중하려고 시도할 수 있으며, 이는 상호 배타적일 수 있음을 시사함.SQLite F_BARRIERFSYNC 사건과 유사한 상황
Daniel의 지적에 따른 curl의 수정 필요성
curl 문서의 문제점과 libcurl의 보안 결함
macOS에 포함된 소프트웨어에 대한 불신
Apple의 기본 행동이 백도어로 간주될 수 있음
Apple이 사용자의 보안을 중요시하지 않는 것에 대한 비판