谷歌今天推出了一种用于测试名为NogotoFail的网络流量安全的新工具。该公司已将其发布为GitHub上可用的开源项目,这意味着任何人都可以使用它,为更多平台提供支持,为您提供支持,并在最终目标帮助改善互联网的安全性。

该工具的主要目的是测试您使用的设备或应用程序是否安全地防止已知的TLS / SSL漏洞和错误配置(它包括用于常见的SSL证书验证问题,HTTPS和TLS / SSL库错误,SSL和StartTLS剥离问题,清晰的问题,等等)。NogotoFail在Android,iOS,Linux,Windows,Chrome OS,OSX上工作,实际上您用于连接到Internet的任何设备。“

今天的举动是推动通过释放公共使用工具来提升TLS / SSL使用。该公司解释了为什么这是必要的:

谷歌致力于增加所有应用程序和服务中的TLS / SSL的使用。但“到处的HTTPS”是不够的;它还需要正确使用。大多数平台和设备都有安全的默认值,但某些应用程序和库覆盖了更糟糕的默认值,并且在某些情况下,我们看到平台也犯了错误。随着应用程序获得更复杂的,连接到更多服务,并使用更多第三方库,介绍这些类型的错误变得更容易。

谷歌表示,它已经在内部使用了NogotoFail“一段时间”并与开发人员合作,以改善应用程序的安全性。该公司没有说它在发现或诊断贵宾犬安全缺陷中发挥了作用。

NogotoFail由Android Security团队构建。因此,它具有客户端来突出设置并在Android以及Linux上获取通知。攻击引擎本身可以部署为路由器,VPN服务器或代理。

该工具需要Python 2.7和Pyopenssl> = 0.13。它具有开放式网络MITM,旨在在Linux机器上工作,以及用于测试设备的可选客户端。

有关更多详细信息,请查看入门指南。