Het lijkt erop dat Google de beveiliging op sommige van hun Gmail-servers heeft bijgewerkt. Wat begon als een intermitterend probleem, werd het breken van de applicatie en daarom moesten we een bijgewerkte versie uitbrengen van CheckMail Gmail.
Het was eigenlijk best een interessant probleem om aan te werken, dus voor degenen onder jullie die van de meer technische softwarekant van de dingen houden, is hier een beetje meer detail: -
Er zijn de afgelopen tijd een aantal beveiligingsproblemen met TLS (SSL) v1.0 geïdentificeerd en het wordt nu als de beste praktijk beschouwd om servers te verharden om alleen te accepteren wat (voorlopig) wordt gezien als een veiligere implementatie, de gouden standaard TLS 1.2 zijn. TLS 1.0 mag in ieder geval niet worden gebruikt. Toen CheckMail Gmail werd gemaakt, was de hoogste standaard op dat moment echter TLS 1.0 en daarom hebben we onze SSL-clientimplementatie ontwikkeld om standaard te gebruiken. Dit werkte 100% van de tijd totdat de servers waren gehard. Omdat Indy niet meer echt ondersteund wordt en zeker niet met Delphi 6, wat we gebruikten om al onze eerdere applicaties te ontwikkelen, betekende het veel graafwerk om dit weer werkend te krijgen. De oplossing die we vonden was om de SSL-clientcomponent te laten onderhandelen over een compatibel beveiligingsniveau met de server, iets wat in geen van de documentatie een optie leek te zijn. Na veel, en ik bedoel veel vallen en opstaan, ontdekten we dat het instellen van de SSLOptions.Method van de TIdSSLIOHandlerSocket op sslvSSLv23 ervoor zorgde dat deze onderhandeling plaatsvond. Wie had gedacht dat het standaardiseren van TLS1.0 een applicatiebreker zou zijn? Het is niet ideaal, maar er is geen enkele hoop dat TLSv1.2 wordt geïmplementeerd in een compatibele versie van de Indy-componenten die het voorlopig zal doen. Hopelijk kan dit van pas komen voor iedereen die oudere Delphi-applicaties onderhoudt die plotseling SSL-fouten hebben ontdekt.
Het betere nieuws voor CheckMail is dat er plannen in de pijplijn zitten voor een modernere platformonafhankelijke oplossing die gebruik maakt van de nieuwste ontwikkelingstools en technologieën, dus houd dat in de gaten.