Spring 團隊開源 nohttp 項目,用以查找、替換和阻止 http:// 的使用。 項目是為了在可能使用 https:// 的情況下不使用到 http://,確保不會發生中間人攻擊。Spring Security、Session 和 LDAP 項目負責人 ROB WINCH 指出,Sprin ...
Spring 團隊開源 nohttp 項目,用以查找、替換和阻止 http:// 的使用。
項目是為了在可能使用 https:// 的情況下不使用到 http://,確保不會發生中間人攻擊。Spring Security、Session 和 LDAP 項目負責人 ROB WINCH 指出,Spring 團隊竭盡全力更新所有 URL 以使用 HTTPS,包括項目 Maven 存儲庫 URL、Apache License 與文檔鏈接。但是有些情況下確實無法使用 HTTPS,例如,Spring 鏈接的某些站點不支持 HTTPS、XML 命名空間標識符必須與文檔中的標識符匹配等。
Spring Framework 目前已經更新,以解析通過類路徑使用 HTTPS 位置的 XML 位置。以往這僅適用於使用 HTTP 的 URL。
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans https://www.springframework.org/schema/beans/spring-beans.xsd">
上邊 https://www.springframework.org/schema/beans/spring-beans.xsd URL 通過類路徑解析,而不需要網路連接。這裡 XML 命名空間名稱(標識符)無法更改為使用 HTTPS。從安全控制的角度來看,這其實並不理想,但因為不通過網路請求,所以對用戶幾乎沒有任何傷害。
另一方面,ROB 表示 Spring 團隊已更新所有主機以確保使用 HTTPS,每個站點都支持 HTTPS、重定向到 HTTPS,並使用 Strict Transport Security。以往潛在的中間人攻擊意味著構建基礎架構可能已經受到損害,為此,Spring 重新構建了所有構建基礎架構並輪換了所有憑據。
這些安全措施是很重要的,但是 ROB 表示安全控制措施到位也很重要,這可以確保問題不再發生。於是團隊更新了構建箱以阻止 HTTP 流量,同時為了保護開發人員和用戶,創建了 nohttp 項目。
nohttp 可用於查找、替換和阻止 http:// 的使用,項目庫包含了幾大模塊:
- nohttp - 核心,允許查找和替換 http:// URL
- nohttp-cli - 輕量的 nohttp 封裝,用於命令行運行
- nohttp-checkstyle - nohttp 與 checkstyle 集成
- nohttp-gradle - nohttp 與 Gradle 集成
- samples - 一些 nohttp 用例
