Mae GitHub wedi penderfynu rhoi'r gorau i gefnogaeth ar gyfer TLS 1.0 ac 1.1 yn ystorfa becynnau NPM a'r holl safleoedd sy'n gysylltiedig Γ’ rheolwr pecyn yr NPM, gan gynnwys npmjs.com. Gan ddechrau Hydref 4, bydd cysylltu Γ’'r ystorfa, gan gynnwys gosod pecynnau, yn gofyn am gleient sy'n cefnogi o leiaf TLS 1.2. Ar GitHub ei hun, daeth cefnogaeth i TLS 1.0 / 1.1 i ben yn Γ΄l ym mis Chwefror 2018. Dywedir mai'r cymhelliad yw pryder am ddiogelwch ei wasanaethau a chyfrinachedd data defnyddwyr. Yn Γ΄l GitHub, mae tua 99% o geisiadau i ystorfa NPM eisoes yn cael eu gwneud gan ddefnyddio TLS 1.2 neu 1.3, ac mae Node.js wedi cynnwys cefnogaeth i TLS 1.2 ers 2013 (ers rhyddhau 0.10), felly bydd y newid yn effeithio ar gyfran fach yn unig o defnyddwyr.
Gadewch inni gofio bod protocolau TLS 1.0 ac 1.1 wedi'u dosbarthu'n swyddogol fel technolegau darfodedig gan yr IETF (Tasglu Peirianneg Rhyngrwyd). Cyhoeddwyd manyleb TLS 1.0 ym mis Ionawr 1999. Saith mlynedd yn ddiweddarach, rhyddhawyd diweddariad TLS 1.1 gyda gwelliannau diogelwch yn ymwneud Γ’ chynhyrchu fectorau cychwynnol a phadin. Ymhlith prif broblemau TLS 1.0/1.1 mae'r diffyg cefnogaeth i seiffrau modern (er enghraifft, ECDHE ac AEAD) a phresenoldeb yn y fanyleb gofyniad i gynnal hen seiffrau, y mae ei ddibynadwyedd yn cael ei gwestiynu ar hyn o bryd. datblygu technoleg cyfrifiadura (er enghraifft, mae angen cefnogaeth ar gyfer TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA i wirio cywirdeb a dilysiad defnyddiau MD5 a SHA-1). Mae cefnogaeth i algorithmau hen ffasiwn eisoes wedi arwain at ymosodiadau fel ROBOT, DROWN, Beast, Logjam a FREAK. Fodd bynnag, ni ystyriwyd y problemau hyn yn uniongyrchol fel gwendidau protocol a chawsant eu datrys ar lefel ei weithrediad. Nid yw protocolau TLS 1.0/1.1 eu hunain yn cynnwys gwendidau critigol y gellir eu hecsbloetio i gynnal ymosodiadau ymarferol.
Ffynhonnell: opennet.ru