作為 Let’s Encrypt 加密倡議的發起者之一,互聯網安全研究小組(簡稱 ISRG)剛剛宣布 —— 他們將通過把核心組件從 C 逐步遷移至 Rust 來修復安全問題,從而使 Apache HTTP 伺服器的 httpd 主程序變得更加穩固。初期工作包括使用 Rustles 庫取代 OpenSSL,為 httpd 重寫一個新的 TLS 模塊(稱作 mod-tls)。
ISRG 的 Josh Aas 表示,他希望重寫的 mod_tls 能夠在有朝一日取代當前被 httpd 默認使用的 mod_ssl 。
目前他們已經收到了谷歌提供的一筆資金,與 httpd 提交者 Stefan Eissing 完成了簽約,後續將通過 Rust 來重寫新模塊。
考慮到每天都有數以億計的網站在使用 httpd 來滿足各項需求,ISRG 希望通過修復和改進安全性,進而對業界產生廣泛而重要的影響。
此前影響 httpd 的問題類型,多見於使用 C 語言編程引發的內存安全性問題。然而經歷十年的發展,Rust 編程語言已經變得相當成熟,且默認情況下僅允許編譯內存安全型的應用程序。
Josh Aas 在評論 C 和 Rust 的優缺點時稱,通過使用 Rust 來編寫 httpd 組件,可以消除大量的安全漏洞。
儘管當前全世界的網路上已經部署了數百萬行的 C 語言代碼來處理標準請求,但我們有足夠證據表明這種行為是不夠安全的。
全行業需要意識到,繼續部署這種網路流量處理代碼,是危險且不負責任的。人們需要能夠滿足其需求的內存安全型軟體,而這也是 ISRG 新工作的主要推動力。
另一方面,Apache httpd 創始人之一的 Brian Behlendorf 也對此發表了評論:
自 Apache httpd 誕生 26 年以來,其在基礎架構中仍扮演著一個至關重要的角色。
作為初始聯合開發者之一,我意識到這項重大改進可對許多人提供保護,並且能夠讓 httpd 在不久的將來繼續發光發熱。
最後,通過確保更多站點向用戶提供更安全的 HTTPS 連接,ISRG 的 Let’s Encrypt 項目已經對互聯網產生了巨大的影響。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/255624.html
微信掃一掃 
支付寶掃一掃 