火狐插件Perspectives：为SSH提供带外验证

ZDNet安全频道原创翻译 转载请注明作者以及出处

关于火狐浏览器中的TLS/SSL验证扩展插件Perspectives，有不少值得讨论的地方。
--------------------------------------------------------------------------------------------

　　在笔者最近的一篇文章中，笔者对TLS/SSL扩展插件Perspectives的效果进行了阐述;但是，关于这个问题，实际上Perspectives比火狐浏览器的一个扩展插件更复杂。

　　SSH协议是目前世界上使用最广泛、用处最大、最安全的远程访问工具之一。当进行正常远程访问的时间，在第一次成功地连接上远程服务器后，一个服务器主机密钥存储就会保存在～/.ssh/known_hosts中，这样的话，就可以防范在你再次尝试连接到同一服务器的中间人攻击。

　　当然，如果在你第一次连接服务器的时间，就存在正在进行的攻击的话，它是不能起到任何作用的。实际上，对于恶意的网络攻击者来说，如果你只信任出现的第一个主机密钥，就等于给他们创造了机会。这就是为什么对主机密钥进行“带外”验证(核查主机密钥在网络传输中的情况)是非常的重要。

　　验证机构可以为基于TLS/SSL的验证模式提供带外验证，但这种情况仅限于证书已经登记的主机，开销也非常大。火狐浏览器的扩展插件Perspectives提供了一种其它类型的方式来进行带外验证，而不需要登记。关于该插件，还有更多的介绍：

　　在官方网站上是这样进行说明的：

　　Perspectives是一种新模式，可以帮助客户安全地识别互联网服务器，避免遭到“中间人”类型的网络攻击。与现有的方法相比，Perspectives价格便宜，操作简单，它可以利用遍布互联网上数个节点的“网络执法者”之类的轻量级工具自动建立功能强大的网络身份数据库。

　　对于SSH主机密钥验证操作来说，这种方法和TLS/SSL证书验证一样有效。作为火狐浏览器的扩展插件，来自卡内基梅隆大学的Perspectives开发团队还提供了可以在Linux和MacOS　X系统下启用OpenSSH客户端的版本。当该插件被移植到其他系统(包括微软Windows和FreeBSD)中时，OpenSSH客户端还是不存在的，尽管根据原始OpenSSH客户端的copyfree许可来看，源代码是可用的。假以时日，它也可能会被移植到其他操作系统中。

　　笔者们当中的一些人也许不需要在不能确认主机密钥的情况下，通过SSH进行远程操作。对于这些用户，卡内基梅隆大学开发团队推出的Perspectives可以通过防范中间人攻击来确保连接的安全。