IO::Socket::SSLモジュールが中間者攻撃のワーニングを出し始めた[Perl]
(2013-05-15 15:37:48) by shinoda

< ページ移動: 1 2 >

昨日、Perl で作成した GCM メッセージ送信サーバの話。

どうも、昨日、CPAN で WWW::Google::Cloud::Messaging をインストールしてからだと思うのだが(結局、この Perl モジュールは使ってないけど(^^;)、LWP モジュールを呼ぶと、

# ./gcm_message_send.pl
*******************************************************************
 Using the default of SSL_verify_mode of SSL_VERIFY_NONE for client
 is depreciated! Please set SSL_verify_mode to SSL_VERIFY_PEER
 together with SSL_ca_file|SSL_ca_path for verification.
 If you really don't want to verify the certificate and keep the
 connection open to Man-In-The-Middle attacks please set
 SSL_verify_mode explicitly to SSL_VERIFY_NONE in your application.
*******************************************************************
  at /usr/lib/perl5/site_perl/5.8.8/LWP/Protocol/http.pm line 31
id=0:13685930XXXXXXXX%XXXX249ace0038c9

という感じで、エラーが出るようになった。
一応、メッセージ自体は送られているからエラーじゃないな。ワーニングだな。

どうも、WWW::Google::Cloud::Messaging のインストール時に、関連モジュールとして IO::Socket::SSL 関係もバージョンアップされちゃった臭いな(^^;

IO::Socket::SSL のバージョンが上がってセキュリティ関係に厳しくなって、「Man-In-The-Middle アタック の可能性があるので、サーバーとクライアントの間でホスト同士の証明書を交換するか、情報漏洩の可能性を承知で使うために、SSL_VERIFY_NONE を明示的に設定しましょう」ということのようであります。

取り敢えず、証明書交換はせず、SSL_VERIFY_NONE の設定で行きたいので、LWP::UserAgent のコンストラクタで、

my $ua = LWP::UserAgent->new(
ssl_opts => {
verify_hostname => 0,
SSL_verify_mode => SSL_VERIFY_NONE,
}
);

という具合に SSL_verify_mode オプションに定数 SSL_VERIFY_NONE をセットしてみたり、直接 0 をセットしてみたりしても状況変わらず。
む〜ん(^^;

結局、LWP::UserAgent は SSL 接続のバックエンドとして Net::SSL も使えるってことだったので、環境変数 'PERL_NET_HTTPS_SSL_SOCKET_CLASS' に Net::SSL を指定し、IO::Socket::SSL を使わないようにしたらワーニングは出なくなった。

こんな感じ。

#!/usr/bin/perl
#
# gcm_message_send.pl
#

use LWP;

$ENV{'PERL_NET_HTTPS_SSL_SOCKET_CLASS'} = "Net::SSL";
$ENV{'PERL_LWP_SSL_VERIFY_HOSTNAME'} = 0;

< ページ移動: 1 2 >

コメント投稿
次の記事へ >
< 前の記事へ
TOPへ戻る

Powered by
MT4i 3.0.8