アカウント名:
パスワード:
ディストリのBugzilla IDやメンテナ専用のアカウントに対して、アカウントリセットしたからとっとと再設定してくれってメールがここ最近引っ切り無しに飛んでくる。今現在使ってるディストリビューションに関しては別に良いんだけど、昔使っててBugzilla経由でバグレポしただけとか、昔はパッケージのメンテナやってたけどもう使ってないからメンテナ共々アカウント破棄したのとか、そんなのまで飛んでくるからどれがどれやらわけがわからない。だいたいからして、アカウント自体削除したものに関しては、どうして未だにそんなメールが来るのかもわからない。まあ所詮はボランティアだから、アカウントの管理なんて決行いい加減な運用していたんだろうな…。○○日以内に再設定せず、放っておけば削除されるみたいな案内が大半なので、利用してるもの以外は再設定せず放置で済ますつもり。
しかしどこも以外とOpenSSLとかは最新版使うものなんだな。しかも皆、律儀にenable-heartbeatsして握ってたんだ…。今回のは常に最新版を使う運用が裏目に出た形やね。これを契機にGnuTLSやNetwork Security Servicesへの移行が増えるかもわからんね。
Theo 師匠大激怒 http://it.srad.jp/comments.pl?sid=628761&cid=2581261 [srad.jp] からのリンクによれば、http://cpplover.blogspot.jp/2014/04/theo-de-raadtietf.html [blogspot.jp]デフォルトがONだったようですね。そしてOFFにしても誰も困らない。
Theo師匠怒りのあまりOpenTLS(?)を立ち上げ、あれよあれよという間にデファクトスタンダードに…はないかな。OpenSSHがOpenSSLと縁切りしてGnuTLSやYaSSLに乗り換え…はあるかな?師匠の性格からして、このままOpenSSHがOpenSSLに依存しているのは我慢ならないんじゃない?
GnuTLSもYaSSLもライセンス的にないんじゃないかな。ならOpenTLSかって話だけど、仕様を取捨選択した実装を作ろうとするかどうか。これはないんじゃないかって気がする。OpenNTPDが近い考え方かも知れないけど、仕様を取捨選択しているわけではなく、実装の自由の中でセキュリティを取っているだけだと理解しています。今回の件に対する見解は、間接的とは言え仕様策定が腐ってるからだってとこ。その腐った土台の上に何を建ててもダメだってことじゃないかしらん。
名前は(まだ?)ないけど、fork して大掃除しています。CVS [openbsd.org]を見ると、他プラットフォームに関するものや古いハードウェアに関わる部分を消したりインデントを統一したりして読みやすくしています (この時点で fork 確定) し、#ifndef OPENSSL_NO_HEARTBEATS 全消しは当たり前、「とりあえず現在時刻でエントロピー溜めとこう」みたいな頭の悪いコードを消したりとボッコボコにしていますね。
OpenOpenSSL [openopenssl.org]
どうしようついにネタなのかマジなのか判別つかないサイトまで作られてる
Linuxなサイトが全滅と言うわけではないけど、Linuxなサイトはあまり更新しないところが多い。そのため最近構築したところがアウトというパターンが多い。
古いまま放置されていたLinux利用のサイトは無事。
今回の心臓破裂バグを持つLinuxなサイトが、今後長期に渡って放置されるんじゃないかというのが一番の心配。BHEKが長い間、広範囲で蔓延っていたのと同じか、あるいはもっと最悪な状況を生むんじゃないかと言うリスク。
皮肉なことに、今回の問題の大きさと影響範囲、それと運用者の性質(過信して、あまりアップデートしない)から、もはやLinuxはWindowsよりもセキュリティリスクが高いOSとなってしまった。今回の攻撃は、サーバ側で自覚症状が無いのでとても怖いぞ。
この件だけでなく、SSL Server Testを見ると、日本のサイトのSSLはボロボロですねぇ。https://www.ssllabs.com/ssltest/ [ssllabs.com]
何とかならんものか…。
いくつか自分の使っている金融機関を入力してみましたが、脆弱な過去のプロトコル(SSL 2)をサポートしているために評価Fとか、そんなのばっかですね。heartbleed以前の問題だった。
評価Fとかまだいいわ。現時点でも Heartbleed attack可能な状態の金融機関多すぎ。入力したサイトの半分はいけるとかいくらなんでもひどい。
とりあえず銀行でぐぐって上から順にやってったが悪いところでもBでそんなに対した事は・・・って思いかけたら1ページめの下辺りからアウトー連発し始めたそういうことね
最初の1.0.1がでたの2011年?RHELやDebianでも去年末リリース版で1.0.1eになってます。最新版とはいえ、時間的に見れば十分枯れかけてると思われても仕方ないんじゃないですかね。
Windows/プロプライエタリ大勝利ですな。
goto fail;
こういうのでプロプライエタリだからセキュアという認識が広まるのはどうかと思う。
影響を受けてくれればXP乗り換えの圧力になったのに…。
プロプライエタリ勝利とかそういうわけではなくて、多様性が重要なことが示された気がする。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
Linux系が全滅 (スコア:0)
ディストリのBugzilla IDやメンテナ専用のアカウントに対して、アカウントリセットしたからとっとと再設定してくれってメールがここ最近引っ切り無しに飛んでくる。
今現在使ってるディストリビューションに関しては別に良いんだけど、昔使っててBugzilla経由でバグレポしただけとか、昔はパッケージのメンテナやってたけどもう使ってないからメンテナ共々アカウント破棄したのとか、そんなのまで飛んでくるからどれがどれやらわけがわからない。
だいたいからして、アカウント自体削除したものに関しては、どうして未だにそんなメールが来るのかもわからない。
まあ所詮はボランティアだから、アカウントの管理なんて決行いい加減な運用していたんだろうな…。
○○日以内に再設定せず、放っておけば削除されるみたいな案内が大半なので、利用してるもの以外は再設定せず放置で済ますつもり。
しかしどこも以外とOpenSSLとかは最新版使うものなんだな。
しかも皆、律儀にenable-heartbeatsして握ってたんだ…。
今回のは常に最新版を使う運用が裏目に出た形やね。
これを契機にGnuTLSやNetwork Security Servicesへの移行が増えるかもわからんね。
Re: (スコア:0)
これだけどこもかしこもパスワード変えろって言っているあたり(Googleは転ばぬ先の杖だから変えとけ程度だが)、デフォルトがそっちだったとかじゃないかとも思えますがどうなんでしょうね。
Re:Linux系が全滅 (スコア:1)
Theo 師匠大激怒 http://it.srad.jp/comments.pl?sid=628761&cid=2581261 [srad.jp] からのリンクによれば、
http://cpplover.blogspot.jp/2014/04/theo-de-raadtietf.html [blogspot.jp]
デフォルトがONだったようですね。
そしてOFFにしても誰も困らない。
Re: (スコア:0)
Theo師匠怒りのあまりOpenTLS(?)を立ち上げ、あれよあれよという間にデファクトスタンダードに…はないかな。OpenSSHがOpenSSLと縁切りしてGnuTLSやYaSSLに乗り換え…はあるかな?師匠の性格からして、このままOpenSSHがOpenSSLに依存しているのは我慢ならないんじゃない?
Re:Linux系が全滅 (スコア:1)
GnuTLSもYaSSLもライセンス的にないんじゃないかな。
ならOpenTLSかって話だけど、仕様を取捨選択した実装を作ろうとするかどうか。これはないんじゃないかって気がする。OpenNTPDが近い考え方かも知れないけど、仕様を取捨選択しているわけではなく、実装の自由の中でセキュリティを取っているだけだと理解しています。
今回の件に対する見解は、間接的とは言え仕様策定が腐ってるからだってとこ。その腐った土台の上に何を建ててもダメだってことじゃないかしらん。
Re:Linux系が全滅 (スコア:1)
名前は(まだ?)ないけど、fork して大掃除しています。
CVS [openbsd.org]を見ると、
他プラットフォームに関するものや古いハードウェアに関わる部分を消したり
インデントを統一したりして読みやすくしています (この時点で fork 確定) し、
#ifndef OPENSSL_NO_HEARTBEATS 全消しは当たり前、
「とりあえず現在時刻でエントロピー溜めとこう」みたいな頭の悪いコードを消したりと
ボッコボコにしていますね。
OpenOpenSSL! (スコア:0)
OpenOpenSSL [openopenssl.org]
どうしようついにネタなのかマジなのか判別つかないサイトまで作られてる
Re: (スコア:0)
Linuxなサイトが全滅と言うわけではないけど、Linuxなサイトはあまり更新しないところが多い。
そのため最近構築したところがアウトというパターンが多い。
古いまま放置されていたLinux利用のサイトは無事。
今回の心臓破裂バグを持つLinuxなサイトが、今後長期に渡って放置されるんじゃないかというのが一番の心配。
BHEKが長い間、広範囲で蔓延っていたのと同じか、あるいはもっと最悪な状況を生むんじゃないかと言うリスク。
皮肉なことに、今回の問題の大きさと影響範囲、それと運用者の性質(過信して、あまりアップデートしない)から、もはやLinuxはWindowsよりもセキュリティリスクが高いOSとなってしまった。
今回の攻撃は、サーバ側で自覚症状が無いのでとても怖いぞ。
Re:Linux系が全滅 (スコア:1)
この件だけでなく、SSL Server Testを見ると、日本のサイトのSSLはボロボロですねぇ。
https://www.ssllabs.com/ssltest/ [ssllabs.com]
何とかならんものか…。
Re: (スコア:0)
いくつか自分の使っている金融機関を入力してみましたが、脆弱な過去のプロトコル(SSL 2)をサポートしているために評価Fとか、そんなのばっかですね。
heartbleed以前の問題だった。
Re: (スコア:0)
評価Fとかまだいいわ。現時点でも Heartbleed attack可能な状態の金融機関多すぎ。入力したサイトの半分はいけるとかいくらなんでもひどい。
Re: (スコア:0)
とりあえず銀行でぐぐって上から順にやってったが悪いところでもBでそんなに対した事は・・・
って思いかけたら1ページめの下辺りからアウトー連発し始めた
そういうことね
Re: (スコア:0)
最初の1.0.1がでたの2011年?
RHELやDebianでも去年末リリース版で1.0.1eになってます。
最新版とはいえ、時間的に見れば十分枯れかけてると思われても仕方ないんじゃないですかね。
Re: (スコア:0)
Windows/プロプライエタリ大勝利ですな。
Re:Linux系が全滅 (スコア:1)
goto fail;
Re: (スコア:0)
こういうのでプロプライエタリだからセキュアという認識が広まるのはどうかと思う。
Re: (スコア:0)
Linuxだからなんもしなくて安全という過剰な神話は間違いというのは広まってほしい。
(アップデートはしてほしい。)
Re: (スコア:0)
影響を受けてくれればXP乗り換えの圧力になったのに…。
Re: (スコア:0)
プロプライエタリ勝利とかそういうわけではなくて、多様性が重要なことが示された気がする。