OpenSSLの脆弱性、Heartbleed問題なんだけど、
IPAの勧告
更新:OpenSSL の脆弱性対策について(CVE-2014-0160)
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
だと、秘密鍵を変えて、証明書、再発行しろって書いてあるよね!
みんな、してる?
いや、この確認方法について、ある説明文書、書こうと思ったわけさ・・・・
一般ユーザーのための“Heartbleed処方箋”
http://itpro.nikkeibp.co.jp/article/Watcher/20140425/553263/
なんて書いてあれば、とうぜん、対策してあると思うよねえ。。。
ってことで、
日経BPパスポートログイン画面
https://signon.nikkeibp.co.jp/front/login/?ts=bpentry&ct=m&ru=https://bpentry.nikkeibp.co.jp/myPageLogin
を・・・
たしかに、ライブラリは最新のものになってるみたい。
Heartbleed testも・・・
でもね、問題は証明書・・・
(2014年5月7日14時現在。
みんなが見ることには変わっていることを望みたい・・)
え、ええええええ~~~
2013年7月16日からになってるのですが・・・2014年4月よりも、ずっと前の気が・・・
いや、ほかのサイトはさておき、日経BPの記事
一般ユーザーのための“Heartbleed処方箋” (5/5)
http://itpro.nikkeibp.co.jp/article/Watcher/20140425/553263/?ST=security&P=5
に以下のように書いてあるんだけど・・・
(太字は上記記事より引用)
ただし、Heartbleedの攻撃を受けたと報道された著名なWebサイトでも、4月7日以前から始まる有効期間の証明書を使っているところが複数ある。これらのサイトの一部は、「Heartbleedの脆弱性を持っていたが、Heartbleedが顕在化する前にOpenSSLをバージョンアップしたので影響はない」としている。
しかし、Heartbleed自体は2年以上も前から存在しており、必ずしも影響がないとは言い切れないだろう。こういったサイトへの対応としては、個人情報を消去したり、しばらく利用を控えたりする方がよいかもしれない。
しばらくは、利用を控えたほうがいいんですかね・・・
あ~、これで説明資料、つくりなおしだ(-_-;)
はじめに証明書の日付みてからつくろう・・・
P.S14:30つけたし
あ、OpenSSLを使ってないのかもしれない。
ほかのSSLなのかも・・・
もしくは、古いバージョンのOpenSSLで、今回の脆弱性は関係ないのかも・・・
・・・だったら、そういうこともあるってかかないと、
個人情報を削除したり、しばらく利用を控えられてしまうのではないか?
IPAの勧告
更新:OpenSSL の脆弱性対策について(CVE-2014-0160)
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
だと、秘密鍵を変えて、証明書、再発行しろって書いてあるよね!
みんな、してる?
いや、この確認方法について、ある説明文書、書こうと思ったわけさ・・・・
一般ユーザーのための“Heartbleed処方箋”
http://itpro.nikkeibp.co.jp/article/Watcher/20140425/553263/
なんて書いてあれば、とうぜん、対策してあると思うよねえ。。。
ってことで、
日経BPパスポートログイン画面
https://signon.nikkeibp.co.jp/front/login/?ts=bpentry&ct=m&ru=https://bpentry.nikkeibp.co.jp/myPageLogin
を・・・
たしかに、ライブラリは最新のものになってるみたい。
Heartbleed testも・・・
でもね、問題は証明書・・・
(2014年5月7日14時現在。
みんなが見ることには変わっていることを望みたい・・)
え、ええええええ~~~
2013年7月16日からになってるのですが・・・2014年4月よりも、ずっと前の気が・・・
いや、ほかのサイトはさておき、日経BPの記事
一般ユーザーのための“Heartbleed処方箋” (5/5)
http://itpro.nikkeibp.co.jp/article/Watcher/20140425/553263/?ST=security&P=5
に以下のように書いてあるんだけど・・・
(太字は上記記事より引用)
ただし、Heartbleedの攻撃を受けたと報道された著名なWebサイトでも、4月7日以前から始まる有効期間の証明書を使っているところが複数ある。これらのサイトの一部は、「Heartbleedの脆弱性を持っていたが、Heartbleedが顕在化する前にOpenSSLをバージョンアップしたので影響はない」としている。
しかし、Heartbleed自体は2年以上も前から存在しており、必ずしも影響がないとは言い切れないだろう。こういったサイトへの対応としては、個人情報を消去したり、しばらく利用を控えたりする方がよいかもしれない。
しばらくは、利用を控えたほうがいいんですかね・・・
あ~、これで説明資料、つくりなおしだ(-_-;)
はじめに証明書の日付みてからつくろう・・・
P.S14:30つけたし
あ、OpenSSLを使ってないのかもしれない。
ほかのSSLなのかも・・・
もしくは、古いバージョンのOpenSSLで、今回の脆弱性は関係ないのかも・・・
・・・だったら、そういうこともあるってかかないと、
個人情報を削除したり、しばらく利用を控えられてしまうのではないか?
アクセス
トータル
ランキング
