TLS 1.0を無効化したIBMのクラウド、問題が発生して再び有効化 33
ストーリー by headless
往復 部門より
往復 部門より
IBMは8日、同社のクラウドプラットフォーム「IBM Bluemix」でTLS 1.0のサポートを無効化したのだが、翌日には再び有効にしたそうだ(The Registerの記事[1]、
[2])。
IBMはTLS 1.0の無効化を事前に告知していたものの、顧客が移行を完了するのに十分な時間がなく、TLS 1.0に依存するコードで問題が発生したとのこと。そのため、TLS 1.0のサポートを復元することで問題を回避したと説明している。今後は顧客が余裕をもって変更に備えられるよう進めていくとのことだ。
IBMはTLS 1.0の無効化を事前に告知していたものの、顧客が移行を完了するのに十分な時間がなく、TLS 1.0に依存するコードで問題が発生したとのこと。そのため、TLS 1.0のサポートを復元することで問題を回避したと説明している。今後は顧客が余裕をもって変更に備えられるよう進めていくとのことだ。
Windows XP (スコア:5, すばらしい洞察)
> 十分な時間がなく
あっこれどれだけ準備時間とっても事後になってから「唐突すぎる」って騒ぎ出すやつだ。
Re:Windows XP (スコア:2, 興味深い)
Windows XPはTLS 1.1以降に対応していないから、マジでそれ関係かもしれない。あとガラケーも全滅。
Re:Windows XP (スコア:1)
来年の6末までにTLS1.1以上に制限しないといけない界隈があるので(PCI-DSS関連)、
そこでWindows XP/Vistaとガラケーは完全に切り捨てる(残念でもないし当然だが)しかない
いまやガラケーもガラスマに変わってるからそこまで気にしなくてもって気はするけど
Re:Windows XP (スコア:2, 参考になる)
IPAなんかでは「セキュリティ例外型」 [ipa.go.jp](PDF注意)と定義して、SSL3.0の使用がやむを得ない場合、それ用の環境を用意すべしとしていますね。
具体的には、PC向けとガラケー向けのサーバは別けておけ、的に。
Re: (スコア:0)
DROWNみたいな前例もあるし、脆弱なプロトコルで接続できる口は存在するだけで有害。
Re: (スコア:0)
それも最初は去年の6末までだったのが延期になったんだよな。
Re: (スコア:0)
あとガラケーも全滅。
それ、対策のたてようがないよなあ…
Re:Windows XP (スコア:1)
ちょっと過激な意見かもしれんが、旧世代のガラケーからの
アクセスはSSLで遮断して対処でいいのでは?
あとandroid2/3あたりとかios9.x以前の旧世代機も同様。
SSL無しに誘導して警告だして顧客にOK押させるとか、
他の端末から接続するように表示出せば対処は十分だろ。
キャリアとかハードメーカとかOSのサポートとかが切れてる端末にSSLだけ入れて安心されても困るしな・・・
#OSのサポート切れた時点でSSL以外の危険も多々あるしな。
Re:ガラケー (スコア:1)
ガラケーだけど、Webなんて見に行かないから、困らない、、と思ったが、
世の中には、ピンポイントで、見に行く人もいそうだ。
で、そこだけが見れれば、良いから、スマフォとかに変える必要も感じないとか。
数年で買い替えるユーザーばっかりなら良いけど、
家電化している現状、全員にそうしろっては無理がある。
内部にタイマー、設けて 10年で動かなくなるとか、昨今の状況だと 5年か?
それはそれで、新しいものに買い替えろって強制でクレームでそう。
Re:ガラケー (スコア:1)
子供の通う小学校では、お知らせを伝達する一斉送信システムがあるのですが
学校からはメールで配信されるものの、こちらからはメール記載の「受け取り確認」リンクURLへSSLアクセスする必要があるという仕様。
それまで妻が使っていたケータイは結構古く(8年ぐらい)、確認サーバがSHA-2なためSSL通信不可。
(普段、電話とメールしか使ってないので、それで特に困ってなかったのですが)
仕方ないので、そのためだけに、iモード最後の機種となった P-01H に機種変しました。
#ユーザー登録とかでSSL必須なのは仕方ないとは思いますが、
#受取確認は認証も何もないワンタイムなURL(アクセスするといきなり「受け取り確認を受理しました」と表示されるだけ)なので、HTTPでいいのに、とちょっと思わないでもないです…
Re: (スコア:0)
消費者が動けば手はいくらでもある。しかしこの問題は消費者が動かないのが原因なのでそこがどうにもならない以上どうしようもない。
個人的には消費者が動かないほうが良い。ウチの会社は幸いなことに古い環境の切り捨てに寛容なので。
古いの定義?良い質問だがそれには答えられないな。それは機密情報だ。
Re: (スコア:0)
> SSL無しに誘導して
そもそもSSLで遮断すると誘導することもできないんですよね。
Re: (スコア:0)
TLS 1.0より後の対応情報が何にも出てこないあたりキャリアももうやる気ねーな
Re: (スコア:0)
>あとガラケーも全滅。
うちのガラケー大丈夫ですけど?
Re: (スコア:0)
具体的にはなんて機種? iモード仕様ではTLS 1.0までしかサポートされてないからauかソフトバンクの機種かな?
Re: (スコア:0)
それガラスマじゃない?
Re: (スコア:0)
基本的に移行する気はさらさらないってヤツ。
Re: (スコア:0)
Windows10のアップグレードを思い出しますね。
社会的責任 (スコア:0)
その不届きな顧客様一覧を公開して
後悔させてやった方がいいんじゃないかな
/*
その顧客の顧客や
その更に顧客が
被害被るとしても
IBMに公開の権利も責任もないっちゃないんだが
*/
Re:社会的責任 (スコア:2, おもしろおかしい)
おかしいな、うちの会社の名前が。
Re: (スコア:0)
Re: (スコア:0)
他にこれだけ役所が含まれてるのですから、むしろ間違ってるのはIBMの方なんじゃないですかぁ? ハハハ
Re: (スコア:0)
今のところ放置プレイ状態ですが、
「セキュリティ上の欠陥を修正するのはベンダーの責任範囲であるということは、契約書にも書いてある。
従って、我々がコストを支払う義務は全く無い。
御社(ベンダー)が(修正からテストまで)全てのコストを支払うべきである」
と仰せになる、とある有名企業様と有名官公庁様がいらっしゃるんですよね・・
なにやらテストには1日あたり\1,000,000かかるとか見積書らしきものも添付されていて、
まるで振り込め詐欺かなにかのような事態に陥っています。
Re: (スコア:0)
SI屋目線と税金は節約してほしい気持とのアンビバレンス
Re:社会的責任 (スコア:1, フレームのもと)
問題を起こさなかった者だけが、彼らに石を投げなさい状態になりそうでありますが。
真っ先にIBMの名前が出てくるだけじゃねぇですかね。
Re: (スコア:0)
サンドバッグ依存症
禁止、禁止、 (スコア:0)
法律()で TLS 1.0 以前は禁止すべきだな。
Re: (スコア:0)
むしろSSLやTLS禁止でいいんじゃね?
Re: (スコア:0)
その前に非暗号化通信禁止すべきだな
Re: (スコア:0)
葉書を出したらアウト。
Re: (スコア:0)
暗号で書けばいいじゃないか
Re: (スコア:0)
暗号じゃないけどQRコードだけ書かれた(描かれた?)年賀状をもらったことを思い出した。