パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

クロスプロトコル攻撃が可能となるSSLv2の脆弱性「DROWN」」記事へのコメント

  • TLSをサポートするサーバーとクライアントとの間では、SSLv2が有効になっていても実際の通信に使われることはないため、サーバーによるSSLv2のサポートはセキュリティーリスクとみなされていなかった。

    の一文にビックリ。
    要求されさえすればいつでも脆弱なプロトコルで応えるようになっていることが、なぜリスクにならないと考えられるのか…。
    世のサーバー管理者のセキュリティ意識ってそんなものなの…違うよね?
    SSLv2のリスクが小さい(許容できる)と見ていたとしても、それは「有効になっていても通信に使われることはないため」が理由じゃないよね?
    ってかこれはDROWN以前のセキュリティ一般論だよね?

    秘密鍵を共有する他のサーバーでSSLv2を有効化して

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...