14/04/10 00:21:07.32 e0ehBVfw0
>しどこかのアタッカーが、いずれ解読するつもりでサーバーから山ほどの暗号化データを取り出して持っていたら?
>それらを解読するためのキーを手に入れているかもしれない(アタックしたサーバーの構成による。例えば、Perfect Forward Secrecyを使って
>設定されているかどうか)。
ちょっとだけ調べたが、PFSを使ってるGmailやTwitterは、「過去を遡る暗号解読(retrospective decryption)」されないそうだ。
通信ごとに違う鍵を使うんだってさ。
同一サービスの過去の暗号化通信って、この脆弱性以外でも盗られてたというか、普通に取れたりはしないか?
SSLでもOpenでないとかPFSされてるとか、証明書見たら分かるようにブラウザを作ってほしい。
FireFoxならそんなアドオンも出るかな。
とりあえずはこれで間に合わせるか。
Test your server for Heartbleed (CVE-2014-0160)
URLリンク(filippo.io)