アカウント名:
パスワード:
> 十分な時間がなく
あっこれどれだけ準備時間とっても事後になってから「唐突すぎる」って騒ぎ出すやつだ。
Windows XPはTLS 1.1以降に対応していないから、マジでそれ関係かもしれない。あとガラケーも全滅。
来年の6末までにTLS1.1以上に制限しないといけない界隈があるので(PCI-DSS関連)、そこでWindows XP/Vistaとガラケーは完全に切り捨てる(残念でもないし当然だが)しかないいまやガラケーもガラスマに変わってるからそこまで気にしなくてもって気はするけど
IPAなんかでは「セキュリティ例外型」 [ipa.go.jp](PDF注意)と定義して、SSL3.0の使用がやむを得ない場合、それ用の環境を用意すべしとしていますね。具体的には、PC向けとガラケー向けのサーバは別けておけ、的に。
DROWNみたいな前例もあるし、脆弱なプロトコルで接続できる口は存在するだけで有害。
それも最初は去年の6末までだったのが延期になったんだよな。
あとガラケーも全滅。
それ、対策のたてようがないよなあ…
ちょっと過激な意見かもしれんが、旧世代のガラケーからのアクセスはSSLで遮断して対処でいいのでは?
あとandroid2/3あたりとかios9.x以前の旧世代機も同様。
SSL無しに誘導して警告だして顧客にOK押させるとか、他の端末から接続するように表示出せば対処は十分だろ。
キャリアとかハードメーカとかOSのサポートとかが切れてる端末にSSLだけ入れて安心されても困るしな・・・
#OSのサポート切れた時点でSSL以外の危険も多々あるしな。
ガラケーだけど、Webなんて見に行かないから、困らない、、と思ったが、
世の中には、ピンポイントで、見に行く人もいそうだ。で、そこだけが見れれば、良いから、スマフォとかに変える必要も感じないとか。
数年で買い替えるユーザーばっかりなら良いけど、家電化している現状、全員にそうしろっては無理がある。
内部にタイマー、設けて 10年で動かなくなるとか、昨今の状況だと 5年か?それはそれで、新しいものに買い替えろって強制でクレームでそう。
子供の通う小学校では、お知らせを伝達する一斉送信システムがあるのですが学校からはメールで配信されるものの、こちらからはメール記載の「受け取り確認」リンクURLへSSLアクセスする必要があるという仕様。
それまで妻が使っていたケータイは結構古く(8年ぐらい)、確認サーバがSHA-2なためSSL通信不可。(普段、電話とメールしか使ってないので、それで特に困ってなかったのですが)仕方ないので、そのためだけに、iモード最後の機種となった P-01H に機種変しました。
#ユーザー登録とかでSSL必須なのは仕方ないとは思いますが、#受取確認は認証も何もないワンタイムなURL(アクセスするといきなり「受け取り確認を受理しました」と表示されるだけ)なので、HTTPでいいのに、とちょっと思わないでもないです…
消費者が動けば手はいくらでもある。しかしこの問題は消費者が動かないのが原因なのでそこがどうにもならない以上どうしようもない。個人的には消費者が動かないほうが良い。ウチの会社は幸いなことに古い環境の切り捨てに寛容なので。古いの定義?良い質問だがそれには答えられないな。それは機密情報だ。
> SSL無しに誘導してそもそもSSLで遮断すると誘導することもできないんですよね。
TLS 1.0より後の対応情報が何にも出てこないあたりキャリアももうやる気ねーな
>あとガラケーも全滅。
うちのガラケー大丈夫ですけど?
具体的にはなんて機種? iモード仕様ではTLS 1.0までしかサポートされてないからauかソフトバンクの機種かな?
それガラスマじゃない?
基本的に移行する気はさらさらないってヤツ。
Windows10のアップグレードを思い出しますね。
その不届きな顧客様一覧を公開して後悔させてやった方がいいんじゃないかな
/*その顧客の顧客やその更に顧客が被害被るとしてもIBMに公開の権利も責任もないっちゃないんだが*/
おかしいな、うちの会社の名前が。
他にこれだけ役所が含まれてるのですから、むしろ間違ってるのはIBMの方なんじゃないですかぁ? ハハハ
今のところ放置プレイ状態ですが、「セキュリティ上の欠陥を修正するのはベンダーの責任範囲であるということは、契約書にも書いてある。 従って、我々がコストを支払う義務は全く無い。 御社(ベンダー)が(修正からテストまで)全てのコストを支払うべきである」と仰せになる、とある有名企業様と有名官公庁様がいらっしゃるんですよね・・
なにやらテストには1日あたり\1,000,000かかるとか見積書らしきものも添付されていて、まるで振り込め詐欺かなにかのような事態に陥っています。
SI屋目線と税金は節約してほしい気持とのアンビバレンス
問題を起こさなかった者だけが、彼らに石を投げなさい状態になりそうでありますが。
真っ先にIBMの名前が出てくるだけじゃねぇですかね。
サンドバッグ依存症
法律()で TLS 1.0 以前は禁止すべきだな。
むしろSSLやTLS禁止でいいんじゃね?
その前に非暗号化通信禁止すべきだな
葉書を出したらアウト。
暗号で書けばいいじゃないか
暗号じゃないけどQRコードだけ書かれた(描かれた?)年賀状をもらったことを思い出した。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
Windows XP (スコア:5, すばらしい洞察)
> 十分な時間がなく
あっこれどれだけ準備時間とっても事後になってから「唐突すぎる」って騒ぎ出すやつだ。
Re:Windows XP (スコア:2, 興味深い)
Windows XPはTLS 1.1以降に対応していないから、マジでそれ関係かもしれない。あとガラケーも全滅。
Re:Windows XP (スコア:1)
来年の6末までにTLS1.1以上に制限しないといけない界隈があるので(PCI-DSS関連)、
そこでWindows XP/Vistaとガラケーは完全に切り捨てる(残念でもないし当然だが)しかない
いまやガラケーもガラスマに変わってるからそこまで気にしなくてもって気はするけど
Re:Windows XP (スコア:2, 参考になる)
IPAなんかでは「セキュリティ例外型」 [ipa.go.jp](PDF注意)と定義して、SSL3.0の使用がやむを得ない場合、それ用の環境を用意すべしとしていますね。
具体的には、PC向けとガラケー向けのサーバは別けておけ、的に。
Re: (スコア:0)
DROWNみたいな前例もあるし、脆弱なプロトコルで接続できる口は存在するだけで有害。
Re: (スコア:0)
それも最初は去年の6末までだったのが延期になったんだよな。
Re: (スコア:0)
あとガラケーも全滅。
それ、対策のたてようがないよなあ…
Re:Windows XP (スコア:1)
ちょっと過激な意見かもしれんが、旧世代のガラケーからの
アクセスはSSLで遮断して対処でいいのでは?
あとandroid2/3あたりとかios9.x以前の旧世代機も同様。
SSL無しに誘導して警告だして顧客にOK押させるとか、
他の端末から接続するように表示出せば対処は十分だろ。
キャリアとかハードメーカとかOSのサポートとかが切れてる端末にSSLだけ入れて安心されても困るしな・・・
#OSのサポート切れた時点でSSL以外の危険も多々あるしな。
Re:ガラケー (スコア:1)
ガラケーだけど、Webなんて見に行かないから、困らない、、と思ったが、
世の中には、ピンポイントで、見に行く人もいそうだ。
で、そこだけが見れれば、良いから、スマフォとかに変える必要も感じないとか。
数年で買い替えるユーザーばっかりなら良いけど、
家電化している現状、全員にそうしろっては無理がある。
内部にタイマー、設けて 10年で動かなくなるとか、昨今の状況だと 5年か?
それはそれで、新しいものに買い替えろって強制でクレームでそう。
Re:ガラケー (スコア:1)
子供の通う小学校では、お知らせを伝達する一斉送信システムがあるのですが
学校からはメールで配信されるものの、こちらからはメール記載の「受け取り確認」リンクURLへSSLアクセスする必要があるという仕様。
それまで妻が使っていたケータイは結構古く(8年ぐらい)、確認サーバがSHA-2なためSSL通信不可。
(普段、電話とメールしか使ってないので、それで特に困ってなかったのですが)
仕方ないので、そのためだけに、iモード最後の機種となった P-01H に機種変しました。
#ユーザー登録とかでSSL必須なのは仕方ないとは思いますが、
#受取確認は認証も何もないワンタイムなURL(アクセスするといきなり「受け取り確認を受理しました」と表示されるだけ)なので、HTTPでいいのに、とちょっと思わないでもないです…
Re: (スコア:0)
消費者が動けば手はいくらでもある。しかしこの問題は消費者が動かないのが原因なのでそこがどうにもならない以上どうしようもない。
個人的には消費者が動かないほうが良い。ウチの会社は幸いなことに古い環境の切り捨てに寛容なので。
古いの定義?良い質問だがそれには答えられないな。それは機密情報だ。
Re: (スコア:0)
> SSL無しに誘導して
そもそもSSLで遮断すると誘導することもできないんですよね。
Re: (スコア:0)
TLS 1.0より後の対応情報が何にも出てこないあたりキャリアももうやる気ねーな
Re: (スコア:0)
>あとガラケーも全滅。
うちのガラケー大丈夫ですけど?
Re: (スコア:0)
具体的にはなんて機種? iモード仕様ではTLS 1.0までしかサポートされてないからauかソフトバンクの機種かな?
Re: (スコア:0)
それガラスマじゃない?
Re: (スコア:0)
基本的に移行する気はさらさらないってヤツ。
Re: (スコア:0)
Windows10のアップグレードを思い出しますね。
社会的責任 (スコア:0)
その不届きな顧客様一覧を公開して
後悔させてやった方がいいんじゃないかな
/*
その顧客の顧客や
その更に顧客が
被害被るとしても
IBMに公開の権利も責任もないっちゃないんだが
*/
Re:社会的責任 (スコア:2, おもしろおかしい)
おかしいな、うちの会社の名前が。
Re: (スコア:0)
Re: (スコア:0)
他にこれだけ役所が含まれてるのですから、むしろ間違ってるのはIBMの方なんじゃないですかぁ? ハハハ
Re: (スコア:0)
今のところ放置プレイ状態ですが、
「セキュリティ上の欠陥を修正するのはベンダーの責任範囲であるということは、契約書にも書いてある。
従って、我々がコストを支払う義務は全く無い。
御社(ベンダー)が(修正からテストまで)全てのコストを支払うべきである」
と仰せになる、とある有名企業様と有名官公庁様がいらっしゃるんですよね・・
なにやらテストには1日あたり\1,000,000かかるとか見積書らしきものも添付されていて、
まるで振り込め詐欺かなにかのような事態に陥っています。
Re: (スコア:0)
SI屋目線と税金は節約してほしい気持とのアンビバレンス
Re:社会的責任 (スコア:1, フレームのもと)
問題を起こさなかった者だけが、彼らに石を投げなさい状態になりそうでありますが。
真っ先にIBMの名前が出てくるだけじゃねぇですかね。
Re: (スコア:0)
サンドバッグ依存症
禁止、禁止、 (スコア:0)
法律()で TLS 1.0 以前は禁止すべきだな。
Re: (スコア:0)
むしろSSLやTLS禁止でいいんじゃね?
Re: (スコア:0)
その前に非暗号化通信禁止すべきだな
Re: (スコア:0)
葉書を出したらアウト。
Re: (スコア:0)
暗号で書けばいいじゃないか
Re: (スコア:0)
暗号じゃないけどQRコードだけ書かれた(描かれた?)年賀状をもらったことを思い出した。