アカウント名:
パスワード:
じゃあRC4を利用するSSLも怖くて使えたものじゃありませんね、怖い怖い。
# そもそもRC4は非公開で広まってるのは流出したArcfourだし、# WEPの脆弱性もアルゴリズムではなく初期攪拌の問題だなんて親切なツッコミ# はしない
OpenSSHつかってて,ssh -c rc4 ってやってみてなんでだめなんだ~と思っていたことがあったssh -c arcfour だった
>じゃあRC4を利用するSSLも怖くて使えたものじゃありませんね、怖い怖い。
いやあ全くもってその通りで、apache等も脆弱性がわかっている暗号等を使えるようにしておくのはやめて、デフォルト設定をもっと強い側のみにしてもいいと思います。どうせOpenSSLが実用に使われる環境のほとんどはCPUパワー余ってるだろうし。
apache2(2.2.12)組み込みのmod_sslでは以下が吊し状態の定義ですがSSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULLなぜ今更こんな脆弱性がわかってるものが並んでるのか理解に苦しみます。
そこでこのように定義していますSSLCipherSuite "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:+HIGH:-MEDIUM:-MD5"これで何が使われるかはopenssl ciphers -v "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:+HIGH:-MEDIUM:-MD5"のようにすると一覧で見られます。#最初は3DESも外そうとしたがAES非実装の現行ウェブブラウザが若干あることがわかって戻した。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
そもそもRC4が弱すぎるから (スコア:0)
Re:そもそもRC4が弱すぎるから (スコア:1, すばらしい洞察)
じゃあRC4を利用するSSLも怖くて使えたものじゃありませんね、怖い怖い。
# そもそもRC4は非公開で広まってるのは流出したArcfourだし、
# WEPの脆弱性もアルゴリズムではなく初期攪拌の問題だなんて親切なツッコミ
# はしない
arcfour (スコア:1)
OpenSSHつかってて,
ssh -c rc4 ってやってみてなんでだめなんだ~と思っていたことがあった
ssh -c arcfour だった
屍体メモ [windy.cx]
Re:そもそもRC4が弱すぎるから (スコア:1, 参考になる)
>じゃあRC4を利用するSSLも怖くて使えたものじゃありませんね、怖い怖い。
いやあ全くもってその通りで、
apache等も脆弱性がわかっている暗号等を使えるようにしておくのはやめて、
デフォルト設定をもっと強い側のみにしてもいいと思います。
どうせOpenSSLが実用に使われる環境のほとんどはCPUパワー余ってるだろうし。
apache2(2.2.12)組み込みのmod_sslでは以下が吊し状態の定義ですが
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
なぜ今更こんな脆弱性がわかってるものが並んでるのか理解に苦しみます。
そこでこのように定義しています
SSLCipherSuite "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:+HIGH:-MEDIUM:-MD5"
これで何が使われるかは
openssl ciphers -v "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:+HIGH:-MEDIUM:-MD5"
のようにすると一覧で見られます。
#最初は3DESも外そうとしたがAES非実装の現行ウェブブラウザが若干あることがわかって戻した。
Re: (スコア:0)