15
मेरे पास ऐसी स्थिति है जहां ग्राहक एक https url पर कर्ल के माध्यम से कॉल करता है। Https url का SSL प्रमाणपत्र स्वयं हस्ताक्षरित है और इसलिए कर्ल प्रमाणपत्र प्रमाणीकरण नहीं कर सकता है और विफल रहता है। कर्ल एक विकल्प -k/- असुरक्षित प्रदान करता है जो प्रमाण पत्र सत्यापन अक्षम करता है। मेरा सवाल यह है कि --insecure विकल्प का उपयोग करने पर डेटा ट्रांसफर होता है जो क्लाइंट और सर्वर एन्क्रिप्टेड के बीच किया जाता है (क्योंकि यह https urls के लिए होना चाहिए)? प्रमाण पत्र सत्यापन के कारण मैं सुरक्षा जोखिम को समझता हूं, लेकिन इस प्रश्न के लिए मैं केवल इस बारे में चिंतित हूं कि डेटा हस्तांतरण एन्क्रिप्ट किया गया है या नहीं।कर्ल असुरक्षित विकल्प
बहुत बुरा रणनीति; [दुनिया में सबसे खतरनाक कोड देखें: गैर-ब्राउज़र सॉफ़्टवेयर में SSL प्रमाण पत्र मान्य करना] (http://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-bugs.html)। – jww
@jww, यदि आप किसी ऐसे परिस्थिति में हैं जहां आप उपयोग किए जाने वाले कॉर्ट को नियंत्रित नहीं करते हैं (इस मामले में स्वयं हस्ताक्षरित) को नियंत्रित नहीं करते हैं, फिर भी कर्ल का उपयोग करके परीक्षण करने की आवश्यकता है। मैं सीए श्रृंखला (जैसे एंटरप्राइज़ पर्यावरण में) स्थापित किए बिना स्वयं हस्ताक्षरित कॉर्ट का उपयोग करने से सहमत हूं, लेकिन एक बुरा विचार है, लेकिन बड़े संगठनों में, यह अक्सर उस व्यक्ति के नियंत्रण से बाहर होता है जो कुछ कोड लिख रहा है या एपीआई का उपयोग कर रहा है। – ntwrkguru