苹果在macOS中“魔改”cURL,作者无端背锅很生气:误导用户!

最新推荐文章于 2024-04-29 22:04:53 发布
最新推荐文章于 2024-04-29 22:04:53 发布
阅读量44 收藏
点赞数
文章标签: macos
原文链接:https://mp.weixin.qq.com/s?__biz=MzUyODg4Nzk2MQ==&mid=2247555318&idx=2&sn=6308c436e2c0abeddebe485549efbb4f&chksm=fbf8a8d8a6539b25984eca2aa7750253f7fd294950b2a8c52b70c47ed8a7e5e6eb9c8ba80ce9&scene=126&sessionid=0
版权

37da3e8c1f5b90f71423a73c12d4c86b.png

架构师大咖

架构师大咖,打造有价值的架构师交流平台。分享架构师干货、教程、课程、资讯。架构师大咖,每日推送。

公众号

该公众号已被封禁

cURL 创始人兼首席开发者 Daniel Stenberg 又对苹果 “开炮” 了,上周他发表文章指责苹果修改了 cURL 在 macOS 中使用某参数时的默认行为,此举会有可能引发安全问题。

9206b482ac304c1763fa76b285cdd135.jpeg

具体来说,cURL 的--cacert参数参数为用户提供了一种方法,让用户在进行接下来的传输时告诉 cURL 这是要信任的 CA 证书集。如果 TLS 服务器无法对其进行验证,则 cURL 会运行失败并返回错误。

这项特性于 2000 年 12 月添加到 cURL,目的是为了让用户知道它与已知且可信的服务器进行通信。

然而,苹果在 macOS 上提供的 cURL 在这种情况下的处理方法是检查系统的 CA 仓库 —— 即直接验证苹果在 macOS 指定的那组 CA 证书,而非开发者指定的 CA 证书

正因如此,这可能会导致 TLS 服务器对 CA 证书的检查意外通过,从而引发安全问题。

该问题最初于 2023 年 12 月 28 日被报告。cURL 作者 Daniel Stenberg 随后对此进行了调查,并于 2023 年 12 月 29 日将此问题报告给了苹果的产品安全团队。

dbbad479ed48e1f91eaf8503d3d45015.png

然而,苹果在 2024 年 3 月 8 日回应称,他们的 OpenSSL (LibreSSL) 版本有意使用内置系统信任存储作为默认信任源,因此他们认为这不是需要在平台上解决的问题。

5428e075b9a30520099f8002039f4d3f.png

Daniel 不认可苹果的说法,他表示这种行为使 CA 证书验证在 macOS 上的 cURL 完全不可靠,并且与文档不一致,从而误导了用户。

由于这不是 cURL 的官方漏洞,因此 Daniel 尚未针对此问题发布 CVE 或任何内容。严格来说,这个问题甚至在 cURL 代码中也不存在。

7e2f03f94dcfcae3e891cee88d1ceace.png

Python入门到精通

Python入门到精通:人生苦短,我用Python!Python每日推送、Python教程、Python资料、Python视频、Python项目、Python学习等。

公众号

该公众号已被封禁

程序员大咖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
osu-macOS-Agent:osu!macOS代理-用于osu!的辅助故障排除工具
05-24
特征自动移动添加到“下载”文件夹的地图和外观自动打开已添加到“下载”文件夹的重播按钮更新osu! 可执行文件按钮打开osu! 文件夹安装下载并将其解压缩右键单击该应用程序,然后单击“ Open 点击Open故障排除...
CodeBlocks:1: 在MacOS上安装20.03
知行合一 止于至善
12-10 1万+
CodeBlocks是很多ACM同学打比赛所必备的装备,因为很多比赛会使用这个,由于当前MacOS上只支持到2013的安装包,这篇文章介绍一下CodeBlocks在Mac上的安装当前最新版本2020.03的方法。
解决:MacOS 苹果系统 微信截图 app截图 无法正常使用
热门推荐
张小凡
10-08 2万+
解决catalina系统微信或其他APP截图无法正常使用 第一步: 步骤二:
干货文:在 Mac 卸载 Python 的方式
江帅帅
07-03 1万+
第 2 步: 打开终端并从根目录导航到您的库文件夹。然后,您可以使用 ls 命令列出库的当前文件夹。Mac 原本有预装了 Python,直接可以用。你也可以自己从官网下载相应的版本进行安装。但如果说,你现在不想用了,想卸载它也是可以的,几种方式吧,一个个来看。第 3 步:使用命令“rm -rf Python”删除 Python。第 1 步:打开活动监视器并在“内存”选项卡关闭与 Python 相关的所有进程;如果要卸载内置的 Python,则需要使用终端。找到 Python 文件夹并右键单击它;
vmware安装苹果虚拟机卡在苹果图标位置不动
feinifi的博客
06-06 1万+
计算机环境:vmware16.2,win11,macos 12 monterey,macos majave。 如题所示,在vmware里面安装苹果虚拟机,通过unlocker工具添加了苹果虚拟机选项,设置虚拟机安装设置。启动虚拟机之前,在虚拟机vmx配置文件增加smc.version = 0 。在进行安装的时候,加载了磁盘文件,但是一直卡在苹果图标的位置,也没有进度条。 ...
virtualbox7虚拟机安装苹果macOS big sur系统详细教程
红尘六绝
02-27 5623
3,接下来,为你的虚拟机指定名称和位置,然后单击“下一步”继续。名称以“macOS”开头。这是默认的安装路径,如果你的安装目录变更过,请以实际的为准。4,现在,选择 macOS big sur虚拟机的 内存容量(建议使用 4GB以上),然后单击“下一步”。macOS big sur是虚拟机的名称,900x1200是我自己设置的屏幕分辩率,这个可以根据自己的需要指定,后面的x32为颜色格式。1,在创建虚拟机后返回主 VirtualBox 页面,选择 macOS Big Sur虚拟机,然后单击“设置”。
dotfiles:点文件! 现在适用于macOS
05-18
Mac的安装脚本和配置 软件包安装 .bashrc 别名,函数 开始使用在Dropbox存储大多数配置文件和应用程序设置。 设置新机器: curl https://dotfiles.ndbroadbent.com | bash
欺骗:在macOS,Windows和Linux轻松欺骗您的MAC地址!
02-03
macOS,Windows和Linux轻松欺骗您的MAC地址! 流行的 Python实用程序(GitHub: )的Node.js端口。 为什么? 我这样做是因为在macOS上更改您的MAC地址比应该做的难。 必须手动将Wi-Fi卡从任何连接的网络上取消...
InDepthSearch:在Windows,Linux和macOS上搜索PDF的关键字!
04-19
在Windows,Linux和macOS上的文档搜索关键字! :open_book: 关于 InDepthSearch是一个多平台的桌面搜索引擎,可以在文档内容内以文本和图像形式查找关键字。 当前支持的平台: Windows 10(x86和x64) Linux(x...
trans:居住在macOS菜单栏的小型快速翻译器
04-25
a small and fast translator living in macOS menu bar :receipt: 更新日志 :backhand_index_pointing_down::backhand_index_pointing_down_light_skin_tone::backhand_index_pointing_down_medium-light_skin_tone...
TablePlus for Mac/Win:开启高效数据开发新纪元
2401_82627223的博客
04-25 673
TablePlus for Mac/Win 是一款不可多得的本地原生数据开发软件。它的出现,为用户带来了更高效、更便捷、更智能的数据开发体验。
Mac 安装Nodejs
飘雪的随笔
04-25 550
简单的说 Node.js 就是运行在服务端的 JavaScript。Node.js 是一个基于 Chrome JavaScript 运行时建立的一个平台。Node.js 是一个事件驱动 I/O 服务端 JavaScript 环境,基于 Google 的 V8 引擎,V8 引擎执行 Javascript 的速度非常快,性能非常好。
PhotosCollage for Mac:优雅且实用的照片拼贴软件
macw_q的博客
04-28 352
用户只需将想要拼贴的照片拖入“照片浏览器”,即可轻松开始拼贴创作。除了基本的拼贴功能,PhotosCollage还提供了丰富的混合和渐变效果,使得照片之间的过渡更加自然、和谐。总的来说,PhotosCollage for Mac是一款功能强大、操作简便的照片拼贴软件,无论是想要制作个人相册、节日贺卡还是社交媒体配图,都能为用户提供满意的创作体验。PhotosCollage for Mac是一款优雅且实用的照片拼贴软件,为Mac用户提供了一个便捷、高效的平台,以创建精美、个性化的照片拼贴作品。
MAC 本地搭建Dify环境
飘雪的随笔
04-29 557
以上为本地源码部署启动的Dify方式。
Aiseesoft Data Recovery for Mac:专业数据恢复软件
macw_q的博客
04-29 262
它采用先进的扫描技术,能够深入硬盘底层,精准定位并恢复丢失的数据。同时,软件支持多种文件类型的恢复,包括文档、图片、视频、音频等,满足用户不同的需求。选择Aiseesoft Data Recovery for Mac,就是选择了一款强大且可靠的数据守护者,让您的数据安全得到有力保障。Aiseesoft Data Recovery for Mac是一款高效且专业的数据恢复软件,专为Mac用户量身打造。此外,Aiseesoft还拥有简洁直观的用户界面,操作简单易懂,即使是初次使用的用户也能轻松上手。
Magnet for Mac:高效窗口管理工具
m0_72489515的博客
04-26 288
总的来说,Magnet for Mac是一款功能强大、操作简便的窗口管理工具,无论是对于需要同时处理多个任务的职场人士,还是对于追求高效工作环境的Mac用户来说,都是一款不可多得的好工具。无论是左右分割、上下分割,还是自定义分割方式,都能轻松实现。此外,Magnet for Mac还支持多显示器环境,用户可以在不同的显示器之间轻松移动和管理窗口,实现跨屏操作的便利。Magnet for Mac是一款专为Mac用户设计的窗口管理工具,旨在帮助用户更高效地管理和布局多个应用程序窗口,提升工作效率。
Deckset for Mac激活版:MD文档转幻灯片软件
macw_q的博客
04-29 140
Deckset支持Markdown语法,让用户在编辑文档时无需分心于复杂的格式设置,只需专注于内容的创作。软件内置了丰富的主题和样式,用户可以根据需要轻松选择,打造出个性化的幻灯片。它凭借简洁直观的界面和强大的功能,成为许多用户的心头好。无论是商务演示、教育培训还是个人分享,Deckset都能帮助用户快速制作出精美、专业的幻灯片,让演讲更加生动有力。此外,Deckset还支持导出为PDF、HTML等多种格式,方便用户在不同场合进行分享和展示。
M2 Mac mini跑Llama3
最新发布
fenglllle的博客
04-29 294
在4-19左右,Meta 宣布正式推出下一代开源大语言模型Llama 3;共包括 80 亿和 700 亿参数两种版本,号称 “是 Llama 2 的重大飞跃”,并为这些规模的 LLM 确立了新的标准。实际上笔者早就体验过,只不过自己电脑没什么显卡(核显),所以一直没跑llama,但是最近听说m2芯片可以运行,就体验了一下。看图表8B的数据可以在本地运行,70B就不用想了。试了一下真的可行。
Lock-It for Mac(应用程序加密工具)
macw_q的博客
04-25 591
此外,该软件还采用先进的加密技术,对应用程序及其数据进行加密保护,增强数据的安全性。这意味着,当用户在设定的时间或条件下离开电脑时,应用程序会自动锁定,需要密码才能重新打开,从而有效防止未经授权的访问。综上所述,OSXBytes Lock-It for Mac是一款功能全面、操作简便、安全性高的应用程序加密工具,非常适合需要保护个人隐私和数据安全的Mac用户使用。它可以对应用程序内的数据进行加密,确保即使应用程序被他人打开,也无法轻易获取其的数据内容。该软件具有多种功能,旨在保护用户的隐私和数据安全。
macOS vim退出时,:wq和:wq!的区别
07-14
是 vim 保存并退出的命令。 :wq 表示保存并。如果当前文件是只读文件或者没有写权限,那么使用 :wq 会提示你无法保存文件。你可以使用 :wq! 强制保存并退出。 :wq! 表示强制保存并退出。即使文件是只读的或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值