アカウント名:
パスワード:
当時、米国外で SSL を使おうとしたら、当然、その「輸出グレード」の暗号しか選択肢が無かったわけで、その当時としては脆弱性でもなんでも無い。
まぁ、輸出グレードの暗号が、強度的に十分かどうかは、当時から「このくらいの金額と時間をかければ解ける」みたいな話はあったけど、少なくとも、今、輸出グレードの暗号を解読するよりは、遥かに難しい状態だった事は確か。
だから、あくまでも「今となっては強度が不十分な暗号を使わせてしまう事ができる」というのが問題なのであって、「20 年前からの脆弱性」というのはおかしい。
二つの問題の合わせ技で、
・攻撃者が被害者の使う暗号を変更できる・脆弱な暗号が双方で利用可能である
ということだと思います。攻撃を防ぐポイントが2箇所にありますし、2つの問題と言えるのでは。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
20年前には脆弱性では無かった (スコア:1)
当時、米国外で SSL を使おうとしたら、当然、その「輸出グレード」の暗号しか選択肢が無かったわけで、その当時としては脆弱性でもなんでも無い。
まぁ、輸出グレードの暗号が、強度的に十分かどうかは、当時から「このくらいの金額と時間をかければ解ける」みたいな話はあったけど、少なくとも、今、輸出グレードの暗号を解読するよりは、遥かに難しい状態だった事は確か。
だから、あくまでも「今となっては強度が不十分な暗号を使わせてしまう事ができる」というのが問題なのであって、「20 年前からの脆弱性」というのはおかしい。
Re:20年前には脆弱性では無かった (スコア:1)
二つの問題の合わせ技で、
・攻撃者が被害者の使う暗号を変更できる
・脆弱な暗号が双方で利用可能である
ということだと思います。攻撃を防ぐポイントが2箇所にありますし、2つの問題と言えるのでは。