由买买提看人间百态

boards

本页内容为未名空间相应帖子的节选和存档,一周内的贴子最多显示50字,超过一周显示500字 访问原贴
Programming版 - 话说openssl这么多年了,一直都是带病运行
相关主题
类似这次SSL漏洞,闭源软件有不小优势12306仍然一塌糊涂
Node.js arrives for the JVM建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
我终于开源过了mobile app后端:parse倒闭后的糙快猛选择
ifanr:到底谁才是真正的隐形战友——开源软件和 OpenSSL 的真实故事(zz)老魏 机器已经上了
提问:Python 2.7.2 on a Mac with SSL对于Java系统,前后端分离的架构现在用的多吗?
How to make a self-signed certificate and use it for NetscaHelp needed! LDAP Integration with hosted applications (转载)
[合集] perl 下面 TLS/SSL IMAP module??SSL Session的问题
Scala 1-star, would not program again听说n家99%的代码都是java
相关话题的讨论汇总
话题: openssl话题: compile话题: session话题: apr话题: java
进入Programming版参与讨论
1 (共1页)
T********i
发帖数: 2416
1
bug一直不断。
带病运行是当前所有系统的属性。
唯一的区别,就是开源的承认,毕源的千方百计抵赖。
c********l
发帖数: 8138
2
re这个
话说我这两天正好在捣鼓这个
Openssl 生成的key/cert + Tomcat 7 + APR Connector
结果发现了一个莫名其妙的bug
按照道理,只要SSL的链接成功建立,都会有Session ID
具体体现是getAttribute( "javax.servlet.request.ssl_session")必然有返回值
但是,在某种特殊条件下会诡异地返回null
也就是说,
如果客户端浏览器将self signed的证书加入root CA ,并且在不打开java.net.debug
=all的情况下,那么session ID 为null
这两个条件,只要去掉其中任意一个,session id依然能返回
不知道到底是java还是Tomcat 7还是OpenSSL的问题,总之三个里面必然有一个
有问题。

【在 T********i 的大作中提到】
: bug一直不断。
: 带病运行是当前所有系统的属性。
: 唯一的区别,就是开源的承认,毕源的千方百计抵赖。
T********i
发帖数: 2416
3
我碰到的问题是,如果release buffer,在多个concurrent connection的情况下,一
个session的某个packet会传递给另一个session,导致验证错误。

debug

【在 c********l 的大作中提到】
: re这个
: 话说我这两天正好在捣鼓这个
: Openssl 生成的key/cert + Tomcat 7 + APR Connector
: 结果发现了一个莫名其妙的bug
: 按照道理,只要SSL的链接成功建立,都会有Session ID
: 具体体现是getAttribute( "javax.servlet.request.ssl_session")必然有返回值
: 但是,在某种特殊条件下会诡异地返回null
: 也就是说,
: 如果客户端浏览器将self signed的证书加入root CA ,并且在不打开java.net.debug
: =all的情况下,那么session ID 为null
c********l
发帖数: 8138
4
你的Server端是用的什么?
APR应该没有release buffer,因为它好像连session manager都没有。

【在 T********i 的大作中提到】
: 我碰到的问题是,如果release buffer,在多个concurrent connection的情况下,一
: 个session的某个packet会传递给另一个session,导致验证错误。
:
: debug
h**********c
发帖数: 4120
5
tomcat use sun/Java cipher suite,
not openssl, source your self,
I am not responsible

debug

【在 c********l 的大作中提到】
: re这个
: 话说我这两天正好在捣鼓这个
: Openssl 生成的key/cert + Tomcat 7 + APR Connector
: 结果发现了一个莫名其妙的bug
: 按照道理,只要SSL的链接成功建立,都会有Session ID
: 具体体现是getAttribute( "javax.servlet.request.ssl_session")必然有返回值
: 但是,在某种特殊条件下会诡异地返回null
: 也就是说,
: 如果客户端浏览器将self signed的证书加入root CA ,并且在不打开java.net.debug
: =all的情况下,那么session ID 为null
h**********c
发帖数: 4120
6
i am not sure openssl is really open
never got the complete source to read, but there is work-around, leave to
the reader as hw
maybe the only way is to compile kernel yourself and then compile openssl,
never tried.
this thing is not a free lunch, ykwim.
c********l
发帖数: 8138
7
Tomcat有两种不同的connector.
一种是NIO/BIO,如果用这种connector,需要用Java cipher suite
采用java keystore方式
另一种是APR,
在用APR时,需要单纯配置一个dll(windows环境下)
APR读取OpenSSL格式的Key file / Cert file
OpenSSL格式与Java的keytool并不兼容

【在 h**********c 的大作中提到】
: tomcat use sun/Java cipher suite,
: not openssl, source your self,
: I am not responsible
:
: debug
s***e
发帖数: 108
8
这个不应该是openssl的问题吧
OpenSSL生成key/cert后, 就没OpenSSL啥事了呀
你有packet dump吗?看着可能是用了session ticket.
SSL/TLS现在问题就是太复杂,实现又各有各的,OpenSSL也没办法吧

debug

【在 c********l 的大作中提到】
: re这个
: 话说我这两天正好在捣鼓这个
: Openssl 生成的key/cert + Tomcat 7 + APR Connector
: 结果发现了一个莫名其妙的bug
: 按照道理,只要SSL的链接成功建立,都会有Session ID
: 具体体现是getAttribute( "javax.servlet.request.ssl_session")必然有返回值
: 但是,在某种特殊条件下会诡异地返回null
: 也就是说,
: 如果客户端浏览器将self signed的证书加入root CA ,并且在不打开java.net.debug
: =all的情况下,那么session ID 为null
s***e
发帖数: 108
9
it is. You can sure compile OpenSSL from source. No need to compile kernel
by yourself.

【在 h**********c 的大作中提到】
: i am not sure openssl is really open
: never got the complete source to read, but there is work-around, leave to
: the reader as hw
: maybe the only way is to compile kernel yourself and then compile openssl,
: never tried.
: this thing is not a free lunch, ykwim.
1 (共1页)
进入Programming版参与讨论
相关主题
听说n家99%的代码都是java提问:Python 2.7.2 on a Mac with SSL
这里有没有人用OpenSSL的?How to make a self-signed certificate and use it for Netsca
C++现在前进的方向是不是错误的?[合集] perl 下面 TLS/SSL IMAP module??
openssl dgst questionScala 1-star, would not program again
类似这次SSL漏洞,闭源软件有不小优势12306仍然一塌糊涂
Node.js arrives for the JVM建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
我终于开源过了mobile app后端:parse倒闭后的糙快猛选择
ifanr:到底谁才是真正的隐形战友——开源软件和 OpenSSL 的真实故事(zz)老魏 机器已经上了
相关话题的讨论汇总
话题: openssl话题: compile话题: session话题: apr话题: java

未名新帖统计// 7月16日

#版面帖数(主题数)
-全站4871 (796)
1Military3777 (569)
2Stock341 (51)
3Joke117 (17)
4History116 (3)
5Automobile100 (9)
6USANews55 (9)
7Midlife45 (1)
8Headline41 (41)
9Dreamer33 (13)
10FleaMarket32 (20)
11Living30 (7)

* 这里只显示发帖超过25的版面,努力灌水吧:-)

历史上的今天

  1. faintcat妹妹看进来~~ 发表于12年前.
  2. NSC, PD 1/7/2007, EB2, ... 发表于11年前.
  3. [FBA求购]MJVE2 758 MJVM2 ... 发表于6年前.
  4. 老生常谈,归与不归 发表于10年前.
  5. 【申请】Seattle西雅图 版版主——申请人... 发表于9年前.
  6. 宝宝出生,头骨骨折,求祝福 发表于9年前.
  7. 求推荐舒缓优美的古典音乐 发表于11年前.
  8. 百分之一的北京人上北大 中国网友愤怒(转载) 发表于10年前.
  9. 新人带狗狗Bailey来报道 发表于12年前.
  10. 全世界最有价值的运动队 发表于10年前.
  11. 请问大切诺基的质量如何 发表于6年前.
  12. TNND,军版全是BKC 发表于15年前.
  13. Inception 发表于12年前.
  14. 微软的有些家属可真恶心,为了卖保险脸都不要了 发表于10年前.
  15. 每周坐高铁的苦逼来说说感受吧!! 发表于9年前.
除非另有声明,本站内容采用Creative Commons BY-NC-SA 3.0协议进行许可,转载请注明来自未名观察 - 隐私政策2011-07-24 10:06:12由admin编辑