アカウント名:
パスワード:
今すぐユーザーがパスワードを変えるのはかえって危険という説があります。変えるならサイトが「対策したよ」とアナウンスしてからにしろと。
危険な理由を書いてください。
今すぐ変えて、更に対策直後にも変えた場合と比べて、どうだろう。
元コメとは別ですが、SSLが筒抜けの状態でパスワードを変えても、かえってパスワードを教えるようなものだということでは。「未対応のサイトにはアクセスするな」の特殊化でしょう。
>今すぐ変えて、更に対策直後にも変えた場合と比べて、どうだろう。
上記の理由で、そうすることは危険だと思います。
で、星の数ほどもあるサイトの中で・未対応のサイト(脆弱性あり)・脆弱性があったが対応済みのサイト・影響がなかったサイトをどうやって知ればいいのでしょうか?
サーバーが対応済みか、ホスト名からチェックできるサイトがいくつかある。自分がよくアクセスするサイトはチェックするよろし。
https://filippo.io/Heartbleed/ [filippo.io] とかね。
スラドをチェックしたら、そもそも443ポートふさがってた\(^o^)/
そのサイトでapp.cocolog-nifty.comとかslashdot.jpとかやってみたんですが、うちの環境では全然画面がかわりません。あとそれは正常に動いたとしても現在穴があいているかどうかがわかるだけだと思うんですが、・現在穴があいている→しばらく使うなはいいとして・穴があいていない→最初からあいていなかった(パスワード変更不要)→あいていたが塞いだ(要パスワード変更)のどちらであるのかが本当に知りたいことなんですが。
漏洩したかどうかは誰にもわからない。だから、わかるのは、今パスワードを変更してもいいかだけ。でパッチあたってたら変更してもOK。未パッチなら今変えてもそれも漏洩するかも。
変更が必要かどうかより、今変更してもいいか、だけ。必要かどうかは誰にもわからない。だから、変更するにしても、ただ念のためということ。
自分は変更しない予定。めんどい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
今変えるのはかえってキケン? (スコア:0)
今すぐユーザーがパスワードを変えるのはかえって危険という説があります。
変えるならサイトが「対策したよ」とアナウンスしてからにしろと。
Re: (スコア:2)
危険な理由を書いてください。
今すぐ変えて、更に対策直後にも変えた場合と比べて、どうだろう。
Re: (スコア:3, 参考になる)
元コメとは別ですが、SSLが筒抜けの状態でパスワードを変えても、かえってパスワードを教えるようなものだということでは。
「未対応のサイトにはアクセスするな」の特殊化でしょう。
>今すぐ変えて、更に対策直後にも変えた場合と比べて、どうだろう。
上記の理由で、そうすることは危険だと思います。
Re: (スコア:0)
で、星の数ほどもあるサイトの中で
・未対応のサイト(脆弱性あり)
・脆弱性があったが対応済みのサイト
・影響がなかったサイト
をどうやって知ればいいのでしょうか?
Re:今変えるのはかえってキケン? (スコア:0)
サーバーが対応済みか、ホスト名からチェックできるサイトがいくつかある。
自分がよくアクセスするサイトはチェックするよろし。
https://filippo.io/Heartbleed/ [filippo.io] とかね。
スラドをチェックしたら、そもそも443ポートふさがってた\(^o^)/
Re: (スコア:0)
そのサイトでapp.cocolog-nifty.comとかslashdot.jpとかやってみたんですが、うちの環境では全然画面がかわりません。
あとそれは正常に動いたとしても現在穴があいているかどうかがわかるだけだと思うんですが、
・現在穴があいている→しばらく使うな
はいいとして
・穴があいていない
→最初からあいていなかった(パスワード変更不要)
→あいていたが塞いだ(要パスワード変更)
のどちらであるのかが本当に知りたいことなんですが。
Re: (スコア:0)
漏洩したかどうかは誰にもわからない。
だから、わかるのは、今パスワードを変更してもいいかだけ。
でパッチあたってたら変更してもOK。未パッチなら今変えてもそれも漏洩するかも。
変更が必要かどうかより、今変更してもいいか、だけ。必要かどうかは誰にもわからない。
だから、変更するにしても、ただ念のためということ。
自分は変更しない予定。めんどい。
Re:今変えるのはかえってキケン? (スコア:1)
そのチェッカーは「ふさがった」と見なすけど通信内容はダダ漏れかもしれない、
つまり、変えても駄目な可能性もあると思う。
ふさがっている上で証明書を確認して有効期限の開始がごく最近(脆弱性発見以降)になっていれば大丈夫かしら。