パスワードを忘れた? アカウント作成
Close
11654464 story
セキュリティ

SSL 3.0に深刻な脆弱性が見つかる 65

ストーリー by hylom
ご確認を 部門より

Googleのセキュリティチームが、SSL 3.0に深刻な脆弱性が存在することを発見、その詳細について発表した(Google Online Security BlogITmedia詳細について解説したPDF)。

この脆弱性は「POODLE」と呼ばれており、悪用するとパスワードやCookieに不正にアクセスできるという。対策としては、SSL 3.0の利用を停止することが挙げられている。

SSL 3.0は1995年に発表された技術であり、Netscape Navigator 2.0において実装されて以来、現在ではほぼすべてのWebブラウザで利用できるようになっている。とはいえ、現在ではより改良が進められたTLSがほとんどのWebブラウザで利用可能であり、SSL 3.0を積極的に利用する理由はない。そのため、ChromeではすでにSSL 3.0のサポートを廃止しており、またMozillaもFirefox 34ではデフォルトでのサポートを廃止することを表明している(Mozilla Security Blog)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
SSL 3.0に深刻な脆弱性が見つかる | ログインアカウント作成 | Top | 65 コメント | コメント検索 | ログイン/アカウント作成

  • 各フューチャーフォンの状況 (スコア:5, 参考になる)

    by kawakazu (45966) on 2014年10月15日 22時32分 (#2694440) 日記
    各社携帯電話のフーチャーフォンの標準Webブラウザの仕様について調べたら
    ドコモ及びソフトバンクはTLS1.0をサポートしていますが、auはSSL3.0のみサポートしています。

    各携帯電話会社が数年前の端末のアップデートは行うことは、考えにくいので、
    脆弱性対処の為に単純にSSL 3.0を停止することは難しいかなあと思っています。

    TLS1.0もBEAST攻撃などの脆弱性がありますので、端末によっては
    TLS1.1以上しか有効になっていない場合もブラウザもあります。

    なので、この脆弱性によりi-modeなどのフューチャーフォン向けのサービスは
    もう諦める段階なのかあと考えています。

    今は、どうやってお客様に報告すればいいか考え中です。
    はあー

    参考URL
    SSL/TLSバージョン 作ろうiモードコンテンツ:主なスペック | サービス・機能 | NTTドコモ
    http://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/ind... [nttdocomo.co.jp]

    KDDI au: EZfactory > WEBページ
    http://www.au.kddi.com/ezfactory/web/ [kddi.com]
    ※EZweb全般のPDFに記載があります

    Mobile Creation | ソフトバンクモバイル
    http://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html [softbank.jp]
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー