アカウント名:
パスワード:
まずは、piyokango さんのまとめ。 OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。 [hatena.ne.jp]
これを読むと、通信の盗聴・改ざんが可能な MITM 攻撃が成立するのは、サーバ側は 1.0.1 で、かつ、クライアント側が脆弱性を持つ OpenSSL を利用している場合。 で、クライアント側で、OpenSSL を利用しているブラウザ、となると、一般的に利用されているものとしては、Android 用の Chrome ぐらいで、主だったブラウザでは、そもそも、OpenSSL を利用していない。 OpenSSL、新たな [zdnet.com]
そもそもAccess Vectorが限定的なので、この脆弱性だけで実害に繋げるのは厳しいかと思います。合わせ技一本となると、日頃からセキュリティに気を配っているサーバなら害を受けないだろうし、逆ならばやられ放題みたいな感じですかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
意外に実害は少ない? (スコア:5, 参考になる)
まずは、piyokango さんのまとめ。
OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。 [hatena.ne.jp]
これを読むと、通信の盗聴・改ざんが可能な MITM 攻撃が成立するのは、サーバ側は 1.0.1 で、かつ、クライアント側が脆弱性を持つ OpenSSL を利用している場合。
で、クライアント側で、OpenSSL を利用しているブラウザ、となると、一般的に利用されているものとしては、Android 用の Chrome ぐらいで、主だったブラウザでは、そもそも、OpenSSL を利用していない。
OpenSSL、新たな [zdnet.com]
Re:意外に実害は少ない? (スコア:1)
そもそもAccess Vectorが限定的なので、この脆弱性だけで実害に繋げるのは厳しいかと思います。
合わせ技一本となると、日頃からセキュリティに気を配っているサーバなら害を受けないだろうし、逆ならばやられ放題みたいな感じですかね。