アカウント名:
パスワード:
TLSをサポートするサーバーとクライアントとの間では、SSLv2が有効になっていても実際の通信に使われることはないため、サーバーによるSSLv2のサポートはセキュリティーリスクとみなされていなかった。
の一文にビックリ。要求されさえすればいつでも脆弱なプロトコルで応えるようになっていることが、なぜリスクにならないと考えられるのか…。世のサーバー管理者のセキュリティ意識ってそんなものなの…違うよね?SSLv2のリスクが小さい(許容できる)と見ていたとしても、それは「有効になっていても通信に使われることはないため」が理由じゃないよね?ってかこれはDROWN以前のセキュリティ一般論だよね?
秘密鍵を共有する他のサーバーでSSLv2を有効化して
鍵が共有ならセキュリティの強度は一番脆い所で決定される、これもDROWNに限らないセキュリティ一般論
偉そうに言っているが、あなたはDROWNの前から、TLS盗聴をもとにSSLv2で探りを入れてそのTLS通信を復元できるということを知っていた人なのかい?
もちろん、使わないチャネルを残しておくのは(あなたの言う通り「一般論」としての) 愚策だが、「使わないんだから危険はあるまい」と言われたときに具体的な危険を挙げることができるかどうかは別だ。DROWNという具体例を出してくれた人に感謝こそすれ、常識知らずと貶し、その価値を下げようとすべきではないぞよ。
今から「そ
> DROWNという具体例を出してくれた人に感謝こそすれ、
確かに、その観点は必要でしたね。ちょっと態度を改めます。
しかし、であればこそ、その具体例ばかり強調されてしまうと、逆にDROWNのみに危険性を矮小化して捉える人がでそうで、なんかモヤっとします。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
述べられている危険性がDROWN以前の問題のような (スコア:3, すばらしい洞察)
TLSをサポートするサーバーとクライアントとの間では、SSLv2が有効になっていても実際の通信に使われることはないため、サーバーによるSSLv2のサポートはセキュリティーリスクとみなされていなかった。
の一文にビックリ。
要求されさえすればいつでも脆弱なプロトコルで応えるようになっていることが、なぜリスクにならないと考えられるのか…。
世のサーバー管理者のセキュリティ意識ってそんなものなの…違うよね?
SSLv2のリスクが小さい(許容できる)と見ていたとしても、それは「有効になっていても通信に使われることはないため」が理由じゃないよね?
ってかこれはDROWN以前のセキュリティ一般論だよね?
秘密鍵を共有する他のサーバーでSSLv2を有効化して
Re: (スコア:-1)
偉そうに言っているが、あなたはDROWNの前から、
TLS盗聴をもとにSSLv2で探りを入れてそのTLS通信を復元できる
ということを知っていた人なのかい?
もちろん、使わないチャネルを残しておくのは
(あなたの言う通り「一般論」としての) 愚策だが、
「使わないんだから危険はあるまい」と言われたときに
具体的な危険を挙げることができるかどうかは別だ。
DROWNという具体例を出してくれた人に感謝こそすれ、
常識知らずと貶し、その価値を下げようとすべきではないぞよ。
今から「そ
Re:述べられている危険性がDROWN以前の問題のような (スコア:1)
> DROWNという具体例を出してくれた人に感謝こそすれ、
確かに、その観点は必要でしたね。ちょっと態度を改めます。
しかし、であればこそ、その具体例ばかり強調されてしまうと、
逆にDROWNのみに危険性を矮小化して捉える人がでそうで、なんかモヤっとします。