アカウント名:
パスワード:
TLSをサポートするサーバーとクライアントとの間では、SSLv2が有効になっていても実際の通信に使われることはないため、サーバーによるSSLv2のサポートはセキュリティーリスクとみなされていなかった。
の一文にビックリ。要求されさえすればいつでも脆弱なプロトコルで応えるようになっていることが、なぜリスクにならないと考えられるのか…。世のサーバー管理者のセキュリティ意識ってそんなものなの…違うよね?SSLv2のリスクが小さい(許容できる)と見ていたとしても、それは「有効になっていても通信に使われることはないため」が理由じゃないよね?ってかこれはDROWN以前のセキュリティ一般論だよね?
秘密鍵を共有する他のサーバーでSSLv2を有効化して
XPの呪縛に囚われている可愛そうな人もいるんじゃね。IE6のデフォルト設定だと、SSLv2 までしか使えないんだよね。設定変えればいいんだけど。未だにXP使ってるのが設定変更できるだろうか。
あとガラケーの類
XPの既定はSSLv3までだよ。息を吐くように嘘つくな。
あとガラケーも。今どきSSLv2を有効にする必要などまったくないと断言して差し支えない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
述べられている危険性がDROWN以前の問題のような (スコア:3, すばらしい洞察)
TLSをサポートするサーバーとクライアントとの間では、SSLv2が有効になっていても実際の通信に使われることはないため、サーバーによるSSLv2のサポートはセキュリティーリスクとみなされていなかった。
の一文にビックリ。
要求されさえすればいつでも脆弱なプロトコルで応えるようになっていることが、なぜリスクにならないと考えられるのか…。
世のサーバー管理者のセキュリティ意識ってそんなものなの…違うよね?
SSLv2のリスクが小さい(許容できる)と見ていたとしても、それは「有効になっていても通信に使われることはないため」が理由じゃないよね?
ってかこれはDROWN以前のセキュリティ一般論だよね?
秘密鍵を共有する他のサーバーでSSLv2を有効化して
Re: (スコア:-1)
XPの呪縛に囚われている可愛そうな人もいるんじゃね。
IE6のデフォルト設定だと、SSLv2 までしか使えないんだよね。
設定変えればいいんだけど。未だにXP使ってるのが設定変更できるだろうか。
あとガラケーの類
Re:述べられている危険性がDROWN以前の問題のような (スコア:0)
XPの既定はSSLv3までだよ。息を吐くように嘘つくな。
Re:述べられている危険性がDROWN以前の問題のような (スコア:1)
あとガラケーも。今どきSSLv2を有効にする必要などまったくないと断言して差し支えない。