パスワードを忘れた? アカウント作成
13378646 story
IBM

TLS 1.0を無効化したIBMのクラウド、問題が発生して再び有効化 33

ストーリー by headless
往復 部門より
IBMは8日、同社のクラウドプラットフォーム「IBM Bluemix」でTLS 1.0のサポートを無効化したのだが、翌日には再び有効にしたそうだ(The Registerの記事[1][2])。

IBMはTLS 1.0の無効化を事前に告知していたものの、顧客が移行を完了するのに十分な時間がなく、TLS 1.0に依存するコードで問題が発生したとのこと。そのため、TLS 1.0のサポートを復元することで問題を回避したと説明している。今後は顧客が余裕をもって変更に備えられるよう進めていくとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Windows XP (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2017年08月13日 19時19分 (#3260665)

    > 十分な時間がなく

    あっこれどれだけ準備時間とっても事後になってから「唐突すぎる」って騒ぎ出すやつだ。

    • Re:Windows XP (スコア:2, 興味深い)

      by Anonymous Coward on 2017年08月13日 19時58分 (#3260682)

      Windows XPはTLS 1.1以降に対応していないから、マジでそれ関係かもしれない。あとガラケーも全滅。

      親コメント
      • by Anonymous Coward on 2017年08月13日 23時22分 (#3260739)

        来年の6末までにTLS1.1以上に制限しないといけない界隈があるので(PCI-DSS関連)、
        そこでWindows XP/Vistaとガラケーは完全に切り捨てる(残念でもないし当然だが)しかない
        いまやガラケーもガラスマに変わってるからそこまで気にしなくてもって気はするけど

        親コメント
        • Re:Windows XP (スコア:2, 参考になる)

          by Anonymous Coward on 2017年08月14日 7時05分 (#3260777)

          IPAなんかでは「セキュリティ例外型」 [ipa.go.jp](PDF注意)と定義して、SSL3.0の使用がやむを得ない場合、それ用の環境を用意すべしとしていますね。
          具体的には、PC向けとガラケー向けのサーバは別けておけ、的に。

          親コメント
          • by Anonymous Coward

            DROWNみたいな前例もあるし、脆弱なプロトコルで接続できる口は存在するだけで有害。

        • by Anonymous Coward

          それも最初は去年の6末までだったのが延期になったんだよな。

      • by Anonymous Coward

        あとガラケーも全滅。

        それ、対策のたてようがないよなあ…

        • by Anonymous Cowarb (41551) on 2017年08月14日 2時08分 (#3260761) 日記

          ちょっと過激な意見かもしれんが、旧世代のガラケーからの
          アクセスはSSLで遮断して対処でいいのでは?

          あとandroid2/3あたりとかios9.x以前の旧世代機も同様。

          SSL無しに誘導して警告だして顧客にOK押させるとか、
          他の端末から接続するように表示出せば対処は十分だろ。

          キャリアとかハードメーカとかOSのサポートとかが切れてる端末にSSLだけ入れて安心されても困るしな・・・

          #OSのサポート切れた時点でSSL以外の危険も多々あるしな。

          親コメント
          • by wood377 (46309) on 2017年08月14日 9時30分 (#3260790) 日記

            ガラケーだけど、Webなんて見に行かないから、困らない、、と思ったが、

            世の中には、ピンポイントで、見に行く人もいそうだ。
            で、そこだけが見れれば、良いから、スマフォとかに変える必要も感じないとか。

            数年で買い替えるユーザーばっかりなら良いけど、
            家電化している現状、全員にそうしろっては無理がある。

            内部にタイマー、設けて 10年で動かなくなるとか、昨今の状況だと 5年か?
            それはそれで、新しいものに買い替えろって強制でクレームでそう。

            親コメント
            • 子供の通う小学校では、お知らせを伝達する一斉送信システムがあるのですが
              学校からはメールで配信されるものの、こちらからはメール記載の「受け取り確認」リンクURLへSSLアクセスする必要があるという仕様。

              それまで妻が使っていたケータイは結構古く(8年ぐらい)、確認サーバがSHA-2なためSSL通信不可。
              (普段、電話とメールしか使ってないので、それで特に困ってなかったのですが)
              仕方ないので、そのためだけに、iモード最後の機種となった P-01H に機種変しました。

              #ユーザー登録とかでSSL必須なのは仕方ないとは思いますが、
              #受取確認は認証も何もないワンタイムなURL(アクセスするといきなり「受け取り確認を受理しました」と表示されるだけ)なので、HTTPでいいのに、とちょっと思わないでもないです…

              親コメント
            • by Anonymous Coward

              消費者が動けば手はいくらでもある。しかしこの問題は消費者が動かないのが原因なのでそこがどうにもならない以上どうしようもない。
              個人的には消費者が動かないほうが良い。ウチの会社は幸いなことに古い環境の切り捨てに寛容なので。
              古いの定義?良い質問だがそれには答えられないな。それは機密情報だ。

          • by Anonymous Coward

            > SSL無しに誘導して
            そもそもSSLで遮断すると誘導することもできないんですよね。

        • by Anonymous Coward

          TLS 1.0より後の対応情報が何にも出てこないあたりキャリアももうやる気ねーな

      • by Anonymous Coward

        >あとガラケーも全滅。

        うちのガラケー大丈夫ですけど?

        • by Anonymous Coward

          具体的にはなんて機種? iモード仕様ではTLS 1.0までしかサポートされてないからauかソフトバンクの機種かな?

        • by Anonymous Coward

          それガラスマじゃない?

    • by Anonymous Coward

      基本的に移行する気はさらさらないってヤツ。

    • by Anonymous Coward

      Windows10のアップグレードを思い出しますね。

  • by Anonymous Coward on 2017年08月13日 20時07分 (#3260685)

    その不届きな顧客様一覧を公開して
    後悔させてやった方がいいんじゃないかな

    /*
    その顧客の顧客や
    その更に顧客が
    被害被るとしても
    IBMに公開の権利も責任もないっちゃないんだが
    */

    • Re:社会的責任 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2017年08月13日 23時00分 (#3260735)

      おかしいな、うちの会社の名前が。

      親コメント
      • by Anonymous Coward
        おっ、おたくもですか。奇遇ですね。私のとこもなんですよ。
        • by Anonymous Coward

          他にこれだけ役所が含まれてるのですから、むしろ間違ってるのはIBMの方なんじゃないですかぁ? ハハハ

          • by Anonymous Coward

            今のところ放置プレイ状態ですが、
            「セキュリティ上の欠陥を修正するのはベンダーの責任範囲であるということは、契約書にも書いてある。
             従って、我々がコストを支払う義務は全く無い。
             御社(ベンダー)が(修正からテストまで)全てのコストを支払うべきである」
            と仰せになる、とある有名企業様と有名官公庁様がいらっしゃるんですよね・・

            なにやらテストには1日あたり\1,000,000かかるとか見積書らしきものも添付されていて、
            まるで振り込め詐欺かなにかのような事態に陥っています。

            • by Anonymous Coward

              SI屋目線と税金は節約してほしい気持とのアンビバレンス

    • Re:社会的責任 (スコア:1, フレームのもと)

      by Sukoya (33993) on 2017年08月14日 0時20分 (#3260748) 日記

      問題を起こさなかった者だけが、彼らに石を投げなさい状態になりそうでありますが。

      真っ先にIBMの名前が出てくるだけじゃねぇですかね。

      親コメント
    • by Anonymous Coward

      サンドバッグ依存症

  • by Anonymous Coward on 2017年08月14日 11時12分 (#3260812)

    法律()で TLS 1.0 以前は禁止すべきだな。

    • by Anonymous Coward

      むしろSSLやTLS禁止でいいんじゃね?

      • by Anonymous Coward

        その前に非暗号化通信禁止すべきだな

        • by Anonymous Coward

          葉書を出したらアウト。

          • by Anonymous Coward

            暗号で書けばいいじゃないか

            • by Anonymous Coward

              暗号じゃないけどQRコードだけ書かれた(描かれた?)年賀状をもらったことを思い出した。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...