パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SSL3.0/TLS1.0 に脆弱性」記事へのコメント

  • by Anonymous Coward on 2011年09月29日 11時41分 (#2026762)

    https://bugzilla.mozilla.org/show_bug.cgi?id=689661 [mozilla.org]
    パッチが完成したらFirefox 7.0.1とChromeのアップデートが来ると思われる。
    Operaは実は11.51で対応していたらしい。

    • OpenSSL [openssl.org] 0.9.6dみたいに、「空平文を先頭に入れる」という対応では、ダメなんですかね?
      --
      iida
      親コメント
      • by Anonymous Coward on 2011年09月29日 11時56分 (#2026780)

        リンク間違えた。正しくはこっち
        https://bugzilla.mozilla.org/show_bug.cgi?id=665814 [mozilla.org]
        > OpenSSL [openssl.org] 0.9.6dみたいに、「空平文を先頭に入れる」という対応では、ダメなんですかね?
        それだと接続できないサーバが現に存在していて、OpenSSLの当該オプションも無効にするように促されていたりする。
        そこで0バイトじゃなくて1バイトだけ平文を入れればいいんじゃね? というアイデアに基づいてパッチを開発中。
        ということも上記リンク先で説明されている。

        親コメント
    • by Anonymous Coward

      あれ?09/28付けでFirefox本体は影響受けないって公言されてたぞ???
      ※アドオンは影響を受ける
      http://mozilla.jp/blog/ [mozilla.jp]

      # NSS自体の穴はかわせる仕組みってことかな
      # タブ・ウィンドウ間やクロスサイトでのクッキー読み書き禁止とか
      # NSS部分の入れ替えというアップデートはあると思うけど
      # ニュアンスはちょっと違うよね

      • by Anonymous Coward on 2011年09月29日 13時52分 (#2026850)

        簡単に言うと
        ・現時点でもFirefox本体は影響をうけるようなNSSの使い方をしていない
        ・どんな使い方をしても安全なように(将来の新しいプロトコルでうっかり脆弱性を作り込む心配がないように)NSS自体の改善を提案中
        ということ。ただしJavaのURLConnectionはFirefox本体のNSSと関係なく完全に独自に通信しているので、Oracleが修正してくれない限り救えない。

        親コメント
        • by Anonymous Coward on 2011年09月29日 14時01分 (#2026856)

          うんだから元コメへ突っ込みしたのですよ

          パッチが完成したらFirefox 7.0.1とChromeのアップデートが来ると思われる。
          Operaは実は11.51で対応していたらしい。

          これじゃFirefox本体も影響をうけるようにしか読めないもの。
          IEについては触れていないけど影響を受ける。

          現状、影響を受けないのは、
          OperaとアドオンなしFirefoxってことで。

          # アドオンなしFirefoxは現実的じゃないから
          # Firefoxも未対応とみなしてもいいけど
          # 補足は必要でしょ?+モデついてるならなおのこおと。

          親コメント
          • by Anonymous Coward
            javascript中のXHRも影響を受けるんですか?
            Firefoxでは影響を受けるのはOracleのJavaだけなんじゃないの?
            Java Pluginを導入してないFirefoxなら普通に実用的ですけど・・・

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...