アカウント名:
パスワード:
この機能をコーディングし実装した人は。さらにいうなら、レビューして許可した人は。
今回の件、実装がと言うよりRFCそのものに問題があったのではと、本件を発見した技術者が報告しているのでは?
http://lepidum.co.jp/blog/2014-06-05/CCS-Injection/ [lepidum.co.jp] >正しい実装の容易さ・困難さ>>ChangeCipherSpecを正しく実装するのは実は容易なことです。上に挙げたフローの順番通りのメッセージだけを送信し受信すればよいだけです。ただし、少しだけ>落とし穴があって、ChangeCipherSpecは他のハンドシェークのメッセージとは異なるレコードを使います。RFCにはその理由が以下のように書いてあります。>> Note: To help avoi
条件は限定的でも、MITM attackを許すってのがまずいなと思っています。ご存じの通り、MITM attackを許すことは、SSL/TLSの信頼性をまるっと否定されるってことです。これがDoSとかだったら、たとえ多少攻略しやすいものでも問題の度合いは低くなるかなと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
誰? (スコア:0)
この機能をコーディングし実装した人は。
さらにいうなら、レビューして許可した人は。
Re: (スコア:2, 興味深い)
今回の件、実装がと言うよりRFCそのものに問題があったのではと、
本件を発見した技術者が報告しているのでは?
http://lepidum.co.jp/blog/2014-06-05/CCS-Injection/ [lepidum.co.jp]
>正しい実装の容易さ・困難さ
>
>ChangeCipherSpecを正しく実装するのは実は容易なことです。上に挙げたフローの順番通りのメッセージだけを送信し受信すればよいだけです。ただし、少しだけ>落とし穴があって、ChangeCipherSpecは他のハンドシェークのメッセージとは異なるレコードを使います。RFCにはその理由が以下のように書いてあります。
>
> Note: To help avoi
Re:誰? (スコア:2)
条件は限定的でも、MITM attackを許すってのがまずいなと思っています。ご存じの通り、MITM attackを許すことは、SSL/TLSの信頼性をまるっと否定されるってことです。
これがDoSとかだったら、たとえ多少攻略しやすいものでも問題の度合いは低くなるかなと。