当前位置：文江博客话题详情

为什么 OpenSSL 可能会将接收/写入的数据保留在内存中？

发布于 2024-11-02 14:11:34 字数 530 浏览 0 评论 0原文

我试图确保敏感数据（密码等）不会以明文形式保存在进程内存中，并且我发现发送到 OpenSSL 或从 OpenSSL 接收的所有数据都保存在内存中...

这是一个问题因为从 SSL 连接发送或接收的数据可能包含我们不希望保留在进程内存中的敏感信息。

注意：

仅当使用 SSLv3 或 TLSv1 时才会出现这种情况。使用 SSLv2 时，数据不会保存在内存中。
我使用的是 Ubuntu Lucid 的 0.9.8k-7ubuntu8.6 版本。如果这与安全修复有关，我认为它是最新的。

复制很简单：

使用“openssl client -tls1 -connect hostname:443”连接到 SSL 服务器
在 TLS 连接中发送数据
强制生成核心文件（kill -SEGV例如）
检查核心文件，接收和发送的数据将存在

OpenSSL 可能需要保留该数据的原因是什么？是否可以选择改变其行为？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

苍白女子 2024-11-09 14:11:34

它仍然在内存中，因为您从未专门覆盖内存内容。它没有充分的理由自动这样做（其他人都会抱怨它使用了不必要的循环）。

您必须自己删除内存内容。该功能不通过命令行程序公开。

回复收藏 0 原文

岁吢 2024-11-09 14:11:34

命令行“客户端”工具仅用于测试。它并不旨在提供实际的安全性或适合实际使用。它有许多功能使其非常不适合任何其他用途，例如，您不能发送“R”，因为这会触发重新协商。

回复收藏 0 原文

飘过的浮云 2024-11-09 14:11:34

注意：在找到我正在寻找的解释后，我正在回答我自己的问题。

如果在连接上启用了压缩，则数据将保存在 zlib 缓冲区中。这就是为什么某些配置/服务器没有观察到它的原因。 zlib 肯定需要正确压缩流。

如果您不需要压缩并且不希望未加密的数据在进程内存中长时间保留，则可以禁用 OpenSSL 压缩。

STACK_OF(SSL_COMP)* cm = SSL_COMP_get_compression_methods();
sk_SSL_COMP_zero(cm);

Note: I'm replying to my own question after having found the explanation I was looking for.

The data is kept in zlib buffers if compression is enabled on the connection. That's why it is not observed with some configuration/server. It is surely required by zlib to correctly compress the flow.

If you don't need compression and you don't want unencrypted data to stay for a long time in process memory, you can disable OpenSSL compression.

STACK_OF(SSL_COMP)* cm = SSL_COMP_get_compression_methods();
sk_SSL_COMP_zero(cm);

回复收藏 0 原文

~没有更多了~

关于作者

乞讨

暂无简介

0 文章

0 评论

735 人气

关注发私信

lorenzathorton8

文章 0 评论 0

关注

Zero

文章 0 评论 0

关注

萧瑟寒风

文章 0 评论 0

关注

mylayout

文章 0 评论 0

关注

tkewei

文章 0 评论 0

关注

17818769742

文章 0 评论 0

友情链接

文江博客

为什么 OpenSSL 可能会将接收/写入的数据保留在内存中？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（3）

关于作者

相关话题

热门标签