Webtagr - Technologienummer

cURL ertrinkt in von KI generierten Sicherheitsberichten

2025-07-14

Das cURL-Sicherheitsteam ist von einer Flut minderwertiger Sicherheitsberichte überfordert, von denen viele von KI generiert wurden. Diese Berichte verschwenden erhebliche Zeit und Ressourcen (3-4 Personen, 30 Minuten bis 3 Stunden pro Bericht) und reduzieren die Effizienz bei der Suche nach echten Schwachstellen drastisch. Im Jahr 2025 waren etwa 20 % der Einreichungen KI-generierter Müll, was zu einem starken Rückgang der Rate gültiger Berichte führte. Das Team erwägt, die monetären Belohnungen zu streichen oder andere Maßnahmen zu ergreifen, um minderwertige Einreichungen zu reduzieren, um die geistige Gesundheit des Teams und die Sicherheit des Projekts zu gewährleisten.

(daniel.haxx.se)

Entwicklung Sicherheitsberichte

GitHub Diff-Schwachstelle: Ausnutzung der Unicode-Zeichenersetzung

2025-05-17

Ein Curl-Mitwirkender, James Fuller, hat eine Schwachstelle im GitHub Diff-Viewer entdeckt. Böswillige Akteure könnten ASCII-Zeichen durch visuell identische Unicode-Zeichen ersetzen und so den Code unbemerkt ändern. Dies könnte zur Manipulation von URLs und anderen schwerwiegenden Folgen führen. Während der GitHub Diff-Viewer keine Warnung ausgab, zeigten andere Plattformen wie Gitea solche Änderungen an. Das Curl-Projekt reagierte mit der Implementierung von CI-Prüfungen zum Erkennen bösartiger Unicode-Zeichen und bereinigte UTF-8-Sequenzen. Dies unterstreicht die Notwendigkeit proaktiver Maßnahmen zur Code-Sicherheit, um potenzielle Angriffe zu verhindern.

(daniel.haxx.se)

Entwicklung Code-Sicherheit GitHub-Schwachstelle

Curls .onion-Blockierung: Ein Spagat zwischen Sicherheit und Benutzerfreundlichkeit

2025-05-16

Um DNS-Lecks von .onion-Domains durch Tor-Benutzer zu verhindern, hat curl vor zwei Jahren RFC 7686 implementiert und blockiert die Auflösung von .onion-Domains. Dies bricht jedoch das neue Tor-Tool oniux und verhindert den Zugriff auf .onion-Websites mit curl. Dies verdeutlicht einen Konflikt zwischen Sicherheit und Benutzerfreundlichkeit: Die strikte Einhaltung von RFC beeinträchtigt die Benutzererfahrung, während die Lockerung der Beschränkungen Sicherheitsrisiken erhöht. Das curl-Team arbeitet derzeit an einer Lösung, die Sicherheit und Benutzerbedürfnisse in Einklang bringt.

(daniel.haxx.se)

Technologie DNS-Leak

Curls Punkt-Desaster: Zwei CVEs und eine endlose Jagd

2025-05-15

Das Curl-Team hatte einen anhaltenden Kampf mit nachgestellten Punkten in Hostnamen von URLs. Anfangs wurden sie ignoriert, dann wurde die Unterstützung für Websites wiederhergestellt, die nachgestellte Punkte benötigen. Diese Änderung führte jedoch versehentlich zu zwei Sicherheitslücken (CVE-2022-27779 und CVE-2022-30115), die sich auf die Cookie-Verarbeitung und den HSTS-Mechanismus auswirken. Diese Schwachstellen resultierten aus einer falschen Behandlung von nachgestellten Punkten, was zu falschen Domain-Übereinstimmungen führte. Curl 7.83.1 behebt diese Probleme, aber der Autor vermutet, dass dies nur der Beginn eines langen Kampfes sein könnte.

(daniel.haxx.se)

Entwicklung

Sicherer Curl: Erstellung von zuverlässigem C-Code für Milliarden von Installationen

2025-04-07

Das Curl-Team teilt seine Praktiken für die Erstellung sicherer und zuverlässiger Netzwerk-Übertragungstools in C. Es hebt die Bedeutung umfassender Tests hervor, einschließlich statischer Analyse und Fuzzing. Ungefähr 40 % seiner Sicherheitslücken stammen von der fehlenden Speichersicherheit in C, aber strenge Codierungsstandards, Stilprüfung und die Vermeidung gefährlicher Funktionen halten diese Zahl niedrig. Der Codierungsstil von Curl betont Lesbarkeit und Wartbarkeit durch Längenbeschränkungen für Zeilen, kurze Variablennamen und Warnungsfreie Kompilierungen. Robuste Fehlerbehandlung, API-Stabilität und sorgfältiges Speichermanagement sind entscheidend für die Zuverlässigkeit und Sicherheit der Software.

(daniel.haxx.se)

Entwicklung C-Sicherheit

Experimentelle curl-Unterstützung für HTTPS RR: Die nächste Generation von DNS-Einträgen

2025-03-31

curl unterstützt jetzt experimentell den neuen DNS-Eintragstyp HTTPS RR, der eine modernere Methode als SRV und URI bietet, um Servicemmetadaten wie ECH-Konfiguration, ALPN-Listen, Zielhostnamen, Ports und IP-Adressen zu übertragen. HTTPS RR verbessert die Sicherheit von HTTPS-Verbindungen (durch ECH-Verschlüsselung des SNI-Feldes) und die Effizienz (durch Vorabrufen von HTTP/3-Unterstützung) und vereinfacht die Serviceerkennung. curl löst HTTPS RR über DoH, getaddrinfo() oder c-ares, bietet aber derzeit keine Option zur Laufzeitdeaktivierung und die Unterstützung für HTTPS RR ist noch unvollständig.

(daniel.haxx.se)

Entwicklung

curl.se Traffic-Analyse: 2 TB/Tag, woher kommt der ganze Verkehr?

2025-02-22

Die Website curl.se verarbeitet monatlich 62,95 TB Traffic, durchschnittlich über 2 TB pro Tag und mit einem Spitzenwert von 3,41 TB. Obwohl detaillierte Logs fehlen, zeigen die Daten, dass von 12,43 Milliarden Anfragen nur 1,12 Millionen Downloads von curl-Paketen waren (weniger als 10 % des Gesamtverkehrs). Der Großteil des Verkehrs (99,77 %) wird vom Fastly CDN-Cache verarbeitet. Die weit verbreitete Verwendung von HTTP/1.1 und TLS 1.2 deutet jedoch auf einen erheblichen Anteil an nicht-browserbasiertem Verkehr hin, möglicherweise von Bots oder anderen Tools. Die Analyse zeigt, dass 207,31 Millionen Downloads von Dateien im Bereich von 100 KB bis 1 MB (wahrscheinlich CA-Zertifikate) einen Großteil des restlichen Verkehrs erklären könnten. Der Verkehr ist weltweit gleichmäßig verteilt, im Gegensatz zu früheren Konzentrationen in China.

(daniel.haxx.se)

Technologie Netzwerkverkehr

Über 20 Jahre Kampf gegen unsichere Verbindungen: Ein Rückblick auf libcurl

2025-02-11

Seit curl 1998 SSL unterstützt, ist die standardmäßige Zertifikatsprüfung ein Eckpfeiler der Netzwerksicherheit. Dennoch deaktivieren Entwickler diese wichtige Prüfung weiterhin, was zu weit verbreiteten Schwachstellen führt. Dieser Artikel beschreibt die Entwicklung von libcurl, untersucht die Gefahren der Deaktivierung der Prüfung und schlägt Lösungen wie API-Verbesserungen, verbesserte Dokumentation und proaktive Fehlerberichte vor. Der Kampf um sichere Verbindungen ist ein langwieriger Kampf.

(daniel.haxx.se)

Entwicklung Zertifikatsprüfung

OpenSSL lehnt QUIC-API ab: Ein Rückschlag für die HTTP/3-Adoption?

2025-01-21

OpenSSL, die beliebteste TLS-Bibliothek, hat die Hinzufügung einer QUIC-API zu seinen kommenden Versionen abgelehnt, was ein erhebliches Hindernis für die weitverbreitete Adoption von HTTP/3 darstellt. Trotz eines Community-Pull-Requests (PR8797), der die notwendigen APIs anbietet, hat das OpenSSL-Management-Komitee beschlossen, einen vollständigen QUIC-Stack von Grund auf neu zu erstellen, ein Prozess, der voraussichtlich mehrere Jahre dauern wird. Diese Entscheidung hat zu Frustration in der Community geführt, da bereits ausgereifte QUIC-Bibliotheken existieren. Microsoft und Akamai haben quictls erstellt, einen OpenSSL-Fork mit der QUIC-API, als Problemumgehung. Dies ist jedoch keine nachhaltige Lösung, und die Zukunft der HTTP/3-Adoption bleibt aufgrund der Entscheidung von OpenSSL ungewiss.

(daniel.haxx.se)

Entwicklung

curl erhält ein wichtiges Update: Unterstützung für das Lesen von Teildateien

2024-12-30

Die kommende curl-Version 8.12.0 bringt eine spannende neue Funktion mit sich: die Möglichkeit, Teile von Dateien zu lesen. Benutzer können jetzt ein neues Variablensystem nutzen, um spezifische Bytebereiche aus Dateien zu extrahieren und diese in curl-Befehlszeilen zu verwenden. Dies verleiht curl eine deutlich höhere Flexibilität im Umgang mit Dateien und ermöglicht Aufgaben wie das Extrahieren des Dateibeginns als Benutzername oder eines Abschnitts in der Mitte für einen POST-Body. Dadurch werden die Möglichkeiten von curl erheblich erweitert und Nutzern ein robusteres Befehlszeilentool zur Verfügung gestellt.

(daniel.haxx.se)

Entwicklung Befehlszeilentool Dateiverarbeitung

cURL und libcurl geben Hyper auf

2024-12-22

Nach einem vierjährigen Experiment hat das cURL-Projekt die Aufgabe des Rust-basierten Hyper-Backends für HTTP angekündigt. Obwohl Hyper Vorteile in Bezug auf die Speichersicherheit bietet und von Let's Encrypt unterstützt wurde, führten mangelnde Benutzernachfrage und Entwicklerbeteiligung zum Abbruch. Das cURL-Team nannte die hohen Kosten für die Wartung des Hyper-Codes und die Konzentration auf die Verbesserung und Wartung des bestehenden Codebases. Das Experiment war zwar gescheitert, aber cURL hat wertvolle Erfahrungen gesammelt und seine HTTP-Verarbeitungsfähigkeiten verbessert.

(daniel.haxx.se)

Entwicklung

HTTP/3: Aktueller Stand – Herausforderungen und Chancen auf dem Weg zur Akzeptanz

2024-12-16

Die HTTP/3-Spezifikationen sind fertiggestellt, warten aber noch auf die endgültige Veröffentlichung. Die Unterstützung auf Serverseite ist überraschend hoch, insbesondere bei Top-Websites. Große Anbieter wie Cloudflare haben HTTP/3 aktiviert, und Browser unterstützen es weitgehend. Allerdings ist die Unterstützung auf Client-Seite, z. B. in curl, noch unvollständig, hauptsächlich aufgrund der verzögerten Entwicklung von QUIC-fähigen TLS-Bibliotheken. Die QUIC-Unterstützung von OpenSSL wurde verschoben, während Alternativen wie BoringSSL und quictls Einschränkungen aufweisen. Obwohl HTTP/3 Geschwindigkeitsverbesserungen verspricht, hängen die tatsächlichen Vorteile von den Netzwerkbedingungen ab. Die breite Akzeptanz hängt von der Veröffentlichung der Spezifikationen und von ausgereiften TLS-Bibliotheken ab.

(daniel.haxx.se)

Entwicklung