Spring 团队开源 nohttp 专案,用以查询、替换和阻止 的使用。
专案是为了在可能使用 https:// 的情况下不使用到 http://,确保不会发生中间人攻击。
Spring Security、Session 和 LDAP 专案负责人 ROB WINCH 指出,Spring 团队竭尽全力更新所有 URL 以使用 HTTPS,包括专案 Maven 储存库 URL、Apache License 与文件连结。
但是有些情况下确实无法使用 HTTPS,例如,Spring 连结的某些站点不支援 HTTPS、XML 名称空间识别符号必须与文件中的识别符号匹配等。
Spring Framework 目前已经更新,以解析通过类路径使用 HTTPS 位置的 XML 位置。以往这仅适用于使用 HTTP 的 URL。
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
https://www.springframework.org/schema/beans/spring-beans.xsd">
上边
https://www.springframework.org/schema/beans/spring-beans.xsd
URL 通过类路径解析,而不需要网络连线。这里 XML 名称空间名称(识别符号)无法更改为使用 HTTPS。从安全控制的角度来看,这其实并不理想,但因为不通过网络请求,所以对使用者几乎没有任何伤害。
另一方面,ROB 表示 Spring 团队已更新所有主机以确保使用 HTTPS,每个站点都支援 HTTPS、重定向到 HTTPS,并使用 Strict Transport Security。以往潜在的中间人攻击意味着构建基础架构可能已经受到损害,为此,Spring 重新构建了所有构建基础架构并轮换了所有凭据。
这些安全措施是很重要的,但是 ROB 表示安全控制措施到位也很重要,这可以确保问题不再发生。于是团队更新了构建箱以阻止 HTTP 流量,同时为了保护开发人员和使用者,建立了 nohttp 专案。
开源中国征稿啦!
开源中国 www.oschina.net 是目前备受关注、具有强大影响力的开源技术社群,拥有超过 400 万的开源技术精英。我们传播开源的理念,推广开源专案,为 IT 开发者提供一个发现、使用、并交流开源技术的平台。
现在我们开始对外征稿啦!如果你有优秀的技术文章想要分享,热点的行业资讯需要报道等等,欢迎联络开源中国进行投稿。投稿详情及联络方式请参见:我要投稿
