Три сотрудника Google выпустили утилиту для системных администраторов, предназначенную для проверки устройств и приложений на наличие в них известных уязвимостей в протоколах TLS/SSL. Программа получила название nogotofail, а ее исходный код был опубликован на Github.
Утилиту создали инженеры подразделения по разработке Android Чад Брубейкер (Chad Brubaker), Алекс Клюбин (Alex Klyubin) и Джереми Кондра (Jeremy Condra). Как сообщается в официальном блоге Google Online Security, программа обнаруживает проблемы с верификацией сертификатов SSL, ошибки в HTTPS и TLS/SSL, неисправности в SSL и STARTTLS, а также cleartext-трафика.
Брубейкер заявил, что Google беспокоится о безопасности пользователей, в связи с чем планирует увеличить использование TLS/SSL во всех своих приложениях и сервисах. Несмотря на то, что в большинстве случаев используются настройки по умолчанию, обеспечивающие наибольший уровень безопасности, в некоторых случаях разработчики могут ошибиться, изменяя их. В результате конечный продукт может оказаться уязвим.
nogotofail работает на всех современных ОС, начиная от Windows, OS X и Linux и заканчивая Android, Chrome OS и iOS. Исходный код приложения доступен здесь .
Источник: SecurityLab.ru