OpenSSLの脆弱性の影響、Torにも及ぶ 10
ストーリー by hylom
匿名化できない 部門より
匿名化できない 部門より
あるAnonymous Coward 曰く、
OpenSSLの脆弱性「Heartbleed」によってTorの多数のノードが影響を受ける恐れがあるそうだ(Threatpost、slashdot、ITmedia)。
米ノースイースタン大学のセキュリティ研究者Collin Mullinerがランダムに抽出したTorのノードを約5000スキャンしたところ、その2割にあたる1045に脆弱性があることが分かったそうだ。この脆弱性を悪用することで、Torネットワークの出口となるexitノードのトラフィックを取得できるという。
なお、Tor Projectでは脆弱性「Heartbleed」発覚後にリジェクトした380ノードのブラックリストをメーリングリストにて公表している。
普通に使ってる分にはOK? (スコア:0)
> Torネットワークの出口となるexitノードのトラフィックを取得できるという。
通信元の元の元の身元が割れる、という話ではないって解釈でいいんだろうか?
まあ心血を利用して身元を割るような奴がいたとしても
そんな事をする奴もどうせ脛傷だろうから、警察にログを突き出すような事はしないと思うが。。。
Re: (スコア:0)
もっとたちの悪いリークのされ方しそうですけどね
Re: (スコア:0)
もともと出口のノードの人には、見られていた情報が他の人にも覗かれるってことでないのかな
最終接続先がhttps接続なら情報は読めないかと思います。(平文は、発信元と最終接続先にしかない)
(出口ノードの人が、メールを読んでいたってニュースがあった気がする)
それとも、メモリ内に出口のノードにつなげている接続元の情報があれば順に追っていけ元ばたどれる???
Torは単に発信元IPを隠すだけで、情報読まれないようする機能や匿名の機能なんてものは、ないと思っています。
広告などのcookie等に固有の番号がついてると、同じブラウザでTor無でアクセスしてしまうと特定可能でないのかな。
Re: (スコア:0)
だからTorと通常のネットワークではブラウザを分けるのが普通です。
公式にTor専用のブラウザパッケージを配ってるので普通の人はそれを使うだけですみます。
Re: (スコア:0)
Tor専用のブラウザが簡単に動くってことは、そのPCから直にも、つなげることが可能な状態だから
Tor専用のブラウザの普通のアクセスはTor経由だがそれ以外のアクセスは、Tor経由してくれるかわからない。
たとえば、裏で動いているセキュリティソフトがURLのチェックする機能があった場合、そのアクセスがTor経由してくれるとは、思えないし、
また、フラッシュ等が行う通信はTor経由なの?
1つ1つ大丈夫だと確認していっても、全部のアクセスなんて把握できないんだから、
本来は直アクセスできない状態にして、Tor経由でしかつながらない状態にすべきだとおもうので、
それだとTor専用のブラウザだと難しい。
Re: (スコア:0)
ってわけでできたのがTails [boum.org]だと思うんだけど、詳しく知らないから違うかも知れない。
Re: (スコア:0)
Re: (スコア:0)
「心血を利用して身元を割る」って、たぶん北斗神拳みたいな話でしょう。
スネに七つの傷を持つとかなんとか。
Re: (スコア:0)
元文を書いた人はHeartBleedを直訳しただけで、注ぐ方の心血とは違う意味で書いていると思いますよ・・・
後二年早ければ (スコア:0)
あの事件に別の展開もあったかもしれない
と思うと残念でなりません。