OpenSSL Alternative RustIs reçoit le soutien financier de Google
Le groupe de recherche sur la sécurité Internet a annoncé que Google fournirait un financement important pour le développement de RustI. RustIs est une alternative à la bibliothèque de sécurité OpenSSL couramment utilisée qui sécurise de nombreux sites Web et services qui promet de fournir une meilleure sécurité Internet en réduisant l'exposition aux vulnérabilités basées sur la mémoire.
Google et ISRG sont partenaires pour le développement de RustIs
L'Internet Security Research Group (ISRG) est l'équipe de développement derrière Let's Encrypt, une autorité de certification à but non lucratif qui aide à sécuriser des centaines de millions de sites Web avec des certificats numériques gratuits.
L'ISRG soutient que si OpenSSL et ses alternatives fonctionnent et fournissent à Internet un service critique, de nombreuses bibliothèques existantes ont des problèmes de sécurité critiques. Les problèmes de sécurité proviennent du fait que la plupart des bibliothèques SSL / TLS sont écrites dans des langages comme C, qui a un support étendu mais n'est pas sûr pour la mémoire.
C'est là qu'intervient RustIs. Rust, le langage de programmation derrière RustIs, est un langage à mémoire sécurisée. La nouvelle mise en œuvre de la sécurité a été auditée par un tiers et confirmée comme sécurisée.
L' annonce officielle de l'ISRG confirme qu'avec le soutien financier de Google, le groupe de recherche sur la sécurité Internet a engagé le développeur expérimenté de Rust Dirkjan Ochtman pour apporter plusieurs améliorations clés aux RustI (un projet auquel Ochtman contribue déjà).
Les améliorations comprennent:
- Appliquez une politique de non-panique pour éliminer le potentiel de comportement indéfini lorsque Rustls est utilisé à travers la limite du langage C.
- Améliorez l'API C afin que Rustls puisse être encore plus facilement intégré dans les applications C existantes. Fusionnez l'API C dans le référentiel Rustls principal.
- Ajoutez la prise en charge de la validation des certificats qui contiennent une adresse IP dans l'extension de nom secondaire du sujet.
- Rendez possible la configuration des connexions côté serveur en fonction de l'entrée du client.
Les améliorations apportées aux RustI devraient faire de la bibliothèque de sécurité une proposition plus attrayante pour les projets utilisant actuellement OpenSSL et d'autres bibliothèques alternatives.
Les bogues de sécurité de la mémoire sont-ils un problème majeur?
Ils peuvent certainement l'être, surtout s'ils sont exploités par un attaquant disposant de connaissances suffisantes. Les bogues de sécurité de la mémoire tels que l' utilisation après l' écriture (ou la lecture ) libre et hors limites peuvent entraîner une corruption de données, une perte de données, etc.
Selon l'ISRG , entre 60 et 70% des vulnérabilités affectant iOS et macOS ces dernières années ont été ou sont liées à des bogues de sécurité de la mémoire. Microsoft estime que 70% des vulnérabilités sont liées à la sécurité de la mémoire, tandis que Google estime que 90% des vulnérabilités Android sont des problèmes de sécurité de la mémoire.
Les langages de programmation comme C et C ++ ne vont pas disparaître. Ils sont ancrés et font partie intégrante de nombreux services. Mais en mettant à jour des projets comme RustI et en les rendant plus attrayants, nous pouvons résoudre les problèmes hérités de ces langages de programmation.