このスレッドから、CURLOPT_SSL_VERIFYHOSTが無効になっている場合にどのような攻撃が発生する可能性があるかがわかります。_VERIFYHOSTではなくVERIFYPEERを無効にすると、どのような攻撃が発生する可能性があるのか知りたいのですが。クレジットカードでの支払いには許容できるリスクですか?
(私が尋ねる理由は、私のコードは_VERIFYPEERを無効にした場合にのみ機能するためですが、理由は誰にもわからないようです)
を無効にするCURLOPT_SSL_VERIFYPEER
と、curlは証明書が実際に信頼できる機関によって署名されていることを確認しません。これは非常に危険です!MITMの状況でVERIFYPEER
は、攻撃者は、なしで、自分の「自己署名」証明書を実際の証明書に置き換えることができます。ホスト名が一致する限り(証明書を作成しているため、いつでも実行できます)、アプリは受け入れ。
CA証明書ストアが設定されておらず、通信しているサーバーがcurlのデフォルトリポジトリにないCAによって署名されているため、コードが失敗する可能性があります。CURLOPT_CAINFO
検証する証明書の使用または指定を検討しCURLOPT_CAPATH
、検証に使用している証明書がアクセス可能であり、ターゲットサーバーの証明書と一致していることを確認してください。