Я переписывал PHP-SDK Facebook 3.1.1 & Я заметил fb_ca_chain_bundle.crt. Последний используется в запросах CURL для проверки SSL-сертификата.Зачем тратить сервер на проверку SSL SSL?
curl_setopt($ch, CURLOPT_CAINFO, dirname(__FILE__) . '/fb_ca_chain_bundle.crt');
Почему бы просто не установить CURLOPT_SSL_VERIFYHOST в 0. Поскольку все запросы направляются на один из следующих хостов, мы можем с уверенностью полагаться на них?
(я не хватает респ комментировать, поэтому повторно ответ)
Как говорит ответ ТАСС, в SSL направлена на предотвращение как пассивное и активное подслушивание. Препятствовать пассивному подслушиванию довольно просто - не прошедший проверку подлинность ключевое соглашение Диффи-Хеллмана сделает трюк. Активная атака немного сложнее, поскольку они могут просто притворяться сервером для клиента и наоборот, позволяя им проксировать весь трафик. Сертификаты обращаются к этому, предоставляя средство установления личности одной или обеих сторон таким образом, что активный атакующий не может (теоретически) обманывать.
Атаки MitM: не ограничен Wi-Fi сетями. Если ваш сервер находится в подсети с другими серверами (вероятно, это так), кто-то с доступом к машине в той же подсети может сделать ARP spoofing attack, чтобы перехватить весь трафик между вашим сервером и маршрутизатором. Любой, кто имеет доступ к сетевому оборудованию вашего интернет-провайдера, также может сделать MitM - доверяете ли вы своему интернет-провайдеру, чтобы его не взломали? Наконец, есть ASN hijack attacks, где кто-то может перехватить весь трафик в и из facebook и делать то, что им нравится.
Реально, если отключить проверку сертификата, маловероятно, что что-то плохое произойдет. Также маловероятно, что что-то плохое произойдет, если вы едете без ремня безопасности или катаетесь на велосипеде без шлема. Является ли сохранение миллисекунды или двух в расчете на один запрос?
Чтобы определить, кто-то притворяется Facebook?
Атака «человек в середине» (часто сокращенно MITM, также известная как атака в виде ковшовой бригады или иногда нападение Януса) в криптографии и компьютерной безопасности - это форма активного подслушивания, в котором злоумышленник делает независимые соединения с жертвы и передает сообщения между ними, заставляя их полагать, что они разговаривают напрямую друг с другом по частной связи, когда на самом деле весь разговор контролируется атакующим. Злоумышленник должен иметь возможность перехватывать все сообщения, идущие между двумя жертвами, и вводить новые, что является простым во многих случаях (например, злоумышленник в зоне приема нешифрованной беспроводной точки доступа Wi-Fi может вставлять себя как человек -в середине). Wikipedia
Uh. Где мои комментарии исчезли? Во всяком случае, я хочу сказать, что MITM, скорее всего, произойдет в сети WI-FI. Однако здесь мы говорим о том, что ISP напрямую связывается с серверами Facebook. Насколько мне известно, для MITM нет нигде. – Gajus
Это отличный ответ. Спасибо. – Gajus