蓝点网
·
苹果「篡改」cURL行为引起开发者不满 这种篡改实际弱化了安全性
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
cURL开发者丹尼尔指责苹果篡改cURL导致的安全问题。cURL允许开发者使用参数--cacert指定一组CA证书,但苹果在macOS中修改了这个功能,导致CA验证不可靠。丹尼尔向苹果报告了这个问题,但苹果表示不需要修复。问题目前无法解决。
🎯
关键要点
- cURL开发者丹尼尔指责苹果篡改cURL导致安全问题。
- cURL允许开发者使用--cacert参数指定CA证书,但苹果在macOS中修改了这一功能。
- 苹果的修改导致CA验证不可靠,开发者使用特定CA证书时可能不会返回错误。
- 丹尼尔在2023年12月向苹果安全团队报告了该问题,但苹果表示不需要修复。
- 苹果认为使用内置系统信任存储作为默认信任源是合理的,丹尼尔对此表示不同意。
- 问题目前无法解决,丹尼尔无法发布CVE或其他内容。
➡️
