место в рейтинге
  • 12571
  • 180
  • 7
Нравится блог?
Подписывайтесь!

Изменение mod_ssl или примеры всяких странностей

Недавно по работе пришлось копаться в исходном коде modssl, модуле поддержки SSL для популярного веб-сервера Apache. Выяснились интересные вещи.

Для работы одной информационной системы было необходимо обеспечить пользовательскую аутентификацию в Apache по сертификатам, которые выдаются нашим Национальным удостоверяющим центром (НУЦ). Кроме того, для авторизации пользователей должна проводиться проверка наличия в сертификате определённого расширения, которое было специально назначено для работы в этой информационной системе.

Как выяснилось, механизма для проверки наличия расширения в modssl нет. Однако есть следующая конструкция для использования в качестве ограничения доступа:

 
  1. SSLRequire "строка" in OID("наш_oid")
 

То есть, нам предлагается проверить сертификат на наличие расширения, извлечь его содержимое и сравнить с указанной нами же строкой. Весьма странно.

Ну ладно, допустим наше расширение в сертификате мы нашли. Но чтобы извлечь его содержимое, OID и NID этого сертификата должны быть заранее известны библиотеке openssl (кто не верит, можете посмотреть код openssl и modssl). В противном случае, modssl проигнорирует это расширение. Всё это, кстати, вполне согласуется с RFC 3280, но что мешало встроить в modssl элементарную проверку наличия самого расширения, мне непонятно.

Более того, даже если содержимое расширения modssl всё-таки вытащит, то кто сказал, что это будет какая-то строка? Всё это делает используемый синтаксис применимым в настолько частных случаях, что непонятно, зачем было разработчикам огород городить.

Я нашёл выход в написании патча для modssl. Может, кому-то поможет.

UPD: писал сей перл 29 мая 2009, делаю repost для себя, чтобы не забыть. Если кто-то наблюдает за разработкой Апача и mod_ssl, может скажет что-то новое, я за ситуацией не слежу.

yerden
14 марта 2011, 17:03
550

Загрузка...
Loading...

Комментарии

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Почему я больше не поеду отдыхать на северное побережье Алаколя

Почему я больше не поеду отдыхать на северное побережье Алаколя

Нам казалось, что на Алаколе мы сможем хорошо отдохнуть, расслабиться и набраться сил на весь следующий год. Вроде, и достаточно бюджетно, и не так далеко.
RisKaS
26 июня 2017 / 18:05
  • 8073
  • 38
ЭКСПО-2017. Каким бы правдоподобным ни казался обман, он всё равно раскроется

ЭКСПО-2017. Каким бы правдоподобным ни казался обман, он всё равно раскроется

Изначально про ЭКСПО было очень много слухов. Лишь только усаживаясь в поезд «тальго» до Астаны, мы уже были изрядно загружены этими слухами. Кто их запускал, для чего – отдельный вопрос..
openqazaqstan
27 июня 2017 / 15:45
  • 7287
  • 41
Эксперимент. Два парня и девушка в поисках лучшего донера в Астане

Эксперимент. Два парня и девушка в поисках лучшего донера в Астане

Нас трое: девушка и двое парней. Мы обошли 7 заведений, где продают донеры. Оценивали по 10-бальной шкале только по вкусовым качествам донера. Никто нам за рекламу не платил, бесплатными донерами не кормил!
nargiz_15
27 июня 2017 / 10:08
  • 6425
  • 15
На каких улицах города Алматы вы точно попадете в «пробку»

На каких улицах города Алматы вы точно попадете в «пробку»

Строятся пешеходные и велосипедные дорожки, трамвайные пути "сносят", а главная традиция нашего мегаполиса - замена подземных коммуникаций и в этом году не была нарушена.
beoblod
26 июня 2017 / 17:22
  • 4166
  • 3
Где отлично провести летние месяцы с пользой для здоровья и кошелька?

Где отлично провести летние месяцы с пользой для здоровья и кошелька?

Я обратил внимание, что в случае с уникальными природными зонами Павлодарской области применима поговорка: «что имеем – не ценим», а ведь они легко могли бы стать международными курортами.
Muzalevskiy
23 июня 2017 / 22:57
  • 3596
  • 11
Это «колхозное сооружение» вредит имиджу города. Я, как алматинка, против!

Это «колхозное сооружение» вредит имиджу города. Я, как алматинка, против!

Почему эту трубу не проложили под землей? Она обезображивает улицу, как дикий багровый шрам от раны, зашитой равнодушным, криворуким и ленивым хирургом, обезображивает лицо.
ValentinaVladimirska
23 июня 2017 / 12:10
  • 2902
  • 45
На Иссык-Куль через Юг. Не бойтесь ехать в Киргизию своим ходом!

На Иссык-Куль через Юг. Не бойтесь ехать в Киргизию своим ходом!

Очень живописная и бюджетная поездка вдоль всего берега по Иссык-Кулю! Мы, две обаятельные девушки, поехали вдвоем, подготовленные к совершенно автономной жизни в палатке, и ни разу ничего не...
yelenasergiyenko
22 июня 2017 / 13:20
  • 3110
  • 23
Неравенство в Казахстане – доходы самых богатых граждан в 6 раз больше заработка бедных

Неравенство в Казахстане – доходы самых богатых граждан в 6 раз больше заработка бедных

Почти 46% расходов казахстанцев уходит на продукты. При этом бедные казахстанцы стали есть меньше, богатые - больше. Инфографика
ZonaKZ
25 июня 2017 / 9:06
  • 2556
  • 23
Миф о героях нашего времени: «Они лишь дешевые подделки»

Миф о героях нашего времени: «Они лишь дешевые подделки»

Они назвали лизоблюдство – нетворкинг. Они назвали бессовестное самохвальство – селфбрендинг. Они назвали беспринципность и отсутствие морали – гибкость и креативный подход.
Aks_Ras
22 июня 2017 / 17:32
  • 2244
  • 12