14/04/11 17:15:29.44 vuydYWr70
>>449
もうちょっとだけ調べたけど、暗号化通信の前提になる鍵交換を毎回やる感じなのかな?
暗号化通信のセッションごとに異なる暗号鍵を使うのは元からか。
スノーデン絡みで対NSAの政治活動がどうとか出てきた。
TorがPFSに対応してなかったりすると、過去の通信の発信元の匿名性が危なかったりするのかな?
技術者としてでなく利用者としてのいい加減な知識だから、あんまり深入りしないほうが長生きできるかも。
親戚づきあいがなくて子供がいないし、子孫まで遺る汚名や迫害は気にしなくていい立場だけど。
自分が死んでからなら、実名と書き込み(購入検索閲覧)履歴が紐つけられて公開されてもいい程度に、それが恥さらし程度で済むようには行動したい。
451:名無しさん@13周年@転載禁止
14/04/11 17:17:41.54 E0ja2Yok0
>>420
たしかに普段ネット関係は不当にネガキャンするくせに
本当に大きな不祥事あったらスルーなんだなw
452:名無しさん@13周年@転載禁止
14/04/11 17:17:47.02 mO8/5COz0
>>65
政府は物凄い数のPCを並列処理させてると思うんだ
何年もかかるかどうか。
453:名無しさん@13周年@転載禁止
14/04/11 17:35:15.47 RrW8s+BK0
アマゾンと楽天は入っていないようだな
ヤフオク使ってるやつザマァwww
yahoo.com
imgur.com
flickr.com
redtube.com
kickass.to
okcupid.com
steamcommunity.com
hidemyass.com(←ここはユーザーの個人情報をvpn.hidemyass.comに保存してるので大丈夫だそうです。直接米ギズモードに連絡がありました)
wettransfer.com
usmagazine.com
500px.com
454:名無しさん@13周年@転載禁止
14/04/11 17:36:21.16 gvH/fhF40
>>26
MicrosoftもOpenSSL使っていたけどなw
455:名無しさん@13周年@転載禁止
14/04/11 17:42:09.81 jIHpsOdL0
>>450
どうも鍵交換にRSAの公開鍵で暗号化した秘密鍵(の元)を送らせる方法ではなくて
Diffie-Hellman鍵交換という方法を使うものを言うらしいね
456:名無しさん@13周年@転載禁止
14/04/11 17:49:48.03 nNGO5FHO0
出来る人はネットサービス会社に対応の確認してほしい
自分は今忙しくてできないんですまん
家族が地元のネットバンク利用してるんだがうまく説明できないらしいし
ちょっとしたらそれは確認してみる
457:名無しさん@13周年@転載禁止
14/04/11 17:55:23.84 xm6bQqfR0
>>339
Amazonは大丈夫だな。
458:名無しさん@13周年@転載禁止
14/04/11 18:02:27.27 nNGO5FHO0
これプロバイダも影響ある?
申し込みとかSSLだよね
459:名無しさん@13周年@転載禁止
14/04/11 18:09:35.69 Fo5UbNMF0
つ)
URLリンク(www.netagent.co.jp)
460:名無しさん@13周年@転載禁止
14/04/11 18:13:39.89 5GadQDtp0
NHKトップ
461:名無しさん@13周年@転載禁止
14/04/11 18:30:14.35 kKG0U9W70
www.ssllabs.comでチェックしたら
onedrive.live.comはFランクのも使ってる
Heartbleedはクリアしてるようだけど
462:名無しさん@13周年@転載禁止
14/04/11 18:34:19.33 nNGO5FHO0
lastpass.com/heartbleed/
ここから調べるとほとんどPossibly Unsafeでパス変更も待てって出るけど
sslcheck.globalsign.com/ja/
こっちだと逆にほとんど大丈夫そうだが実際どうなんだろ
しかし中間者攻撃に弱いとこばっかりで別の心配が出る
filippo.io/Heartbleed/ は反応してくれなかった
463:名無しさん@13周年@転載禁止
14/04/11 18:37:00.26 kKG0U9W70
onedriveは使ってないんだけど
3ヶ所使ってたアップローダーで、1ヶ所引っかかたんで
そこはファイル削除した
速度早くて便利だったんけどさ
464:名無しさん@13周年@転載禁止
14/04/11 18:44:13.48 hDIvIOvg0
ファイルなんか削除しに行くなよw
そんなところは放置して同じパスワード使ってるところのパスワード変えないと。
クレジットカード登録してるところがやばければ削除しに行くのは意味があると思うが。
まあやばいファイルも削除はした方がいいが。
465:名無しさん@13周年@転載禁止
14/04/11 20:14:09.31 9QuHo26S0
3回、勝手に請求されていたけど、これだったか。
466:名無しさん@13周年@転載禁止
14/04/11 20:38:15.88 v6PkU+TI0
チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 - @IT
URLリンク(www.atmarkit.co.jp)
467:名無しさん@13周年@転載禁止
14/04/11 20:38:47.80 v6PkU+TI0
OpenSSLの「Heartbleed」脆弱性に便乗攻撃、陰謀説や政府機関利用説も - ITmedia エンタープライズ
URLリンク(www.itmedia.co.jp)
468:名無しさん@13周年@転載禁止
14/04/11 21:38:16.65 YaglTPYB0
うんもーなんなの!ageとくわ
469:名無しさん@13周年@転載禁止
14/04/11 21:43:16.80 SUuiF9dC0
>>446
参考になるなら良かった
他人事じゃないからなー
喩え話はその人が興味ある分野か
一般的によく知られてることでいくといいよ
騒いでくれてるのは無関心より全然良い
何かあったときの対策とか被るのはメンテ側になるから
しっかり説得せんと
>>467
何で心電図取る必要何てあるんだってことだからな
陰謀説だって出るだろう
470:名無しさん@13周年@転載禁止
14/04/11 23:08:59.35 /FtWIASi0
>>467
ユーザー側に出来ることが無いって記事読んだけど大事になってるんだね
某所でチラッとニュース欄の記事を読んで騒動を知ったよ
471:名無しさん@13周年@転載禁止
14/04/12 00:24:48.05 8KauJMnP0
???「それ見たことか、サーバーで動かすソフトってのは十分に枯れた古いバージョンのままにしておくのがいいんだよ」
472:名無しさん@13周年@転載禁止
14/04/12 00:27:54.44 Zv6gvnzd0
>>470
PC内を検索して、該当するverのssleay32.dllとlibeay32.dllがあったら
念のために上書きしておいたほうがいいよ
ウイルスバスターや一部の専用ブラウザで使われてる
473:名無しさん@13周年@転載禁止
14/04/12 00:28:25.42 xR8GeCiU0
鈴木大輔さんこんばんは。
474:名無しさん@13周年@転載禁止
14/04/12 02:09:28.37 4idOiaIS0
2年間放置
googleが発見
->googleによる個人情報漁り完了済み
475:名無しさん@13周年@転載禁止
14/04/12 02:22:08.33 RpDP1hU40
>>474
なーるほど
476:名無しさん@13周年@転載禁止
14/04/12 02:47:39.00 8/pb6csj0
googleは生データの方抑えてるから、
こんな暗号化されたものしか得られない不確かな方法に頼る必要ない。
477:名無しさん@13周年@転載禁止
14/04/12 03:23:43.33 6GtMfClw0
例えば
googlebot がクロールの振りをしてサイトの秘密鍵を盗みまくる
google DNS (8.8.8.8 と 8.8.4.4) でDNS詐称して偽サイトに誘導
完全犯罪成立ですな
478:名無しさん@13周年@転載禁止
14/04/12 05:51:05.99 hHG4IQnD0
ヤフオク行ったーーーーーーーーーーーーーーーーーーーーー(泣)
479:名無しさん@13周年@転載禁止
14/04/12 05:55:31.28 Qc9S3isU0
openssl 1.0.1e-fipsってどうなのよ?
480:名無しさん@13周年@転載禁止
14/04/12 05:57:25.55 6ONJLzl90
open何とかってのは、実は一番危険。誰が何を仕込んだかわからん。
481:名無しさん@13周年@転載禁止
14/04/12 05:59:25.12 Qc9S3isU0
これってダウングレードしろってこと?
482:名無しさん@13周年@転載禁止
14/04/12 05:59:56.85 6ONJLzl90
ネット決済はやめて現金商売に戻すしかないのか。
483:名無しさん@13周年@転載禁止
14/04/12 06:25:53.74 Qc9S3isU0
apt-getやyumでアップデートしたけど1.0.1e-5が1.0.1e-15になっただけだぞ?
rpmとかで落としてこないとだめなの?
484:名無しさん@13周年@転載禁止
14/04/12 06:41:38.78 6GjDaUE10
勘違いしているアホのために
・一般的なインターネット通信は、そもそもSSLで暗号化をしていない
(例えば2chとの送受信も暗号化していない)
・銀行webなどクレカ情報などを入力するwebサイトはSSLで暗号化している
485:名無しさん@13周年@転載禁止
14/04/12 08:13:02.10 zYSgVCqp0
このスレが伸びないのは訳分からんていう俺みたいな奴ばっかだからだろう
何も知らないから煽ることも嘆くことも出来ない
486:名無しさん@13周年@転載禁止
14/04/12 08:26:04.10 n2EtHQcq0
>>460
警察庁の注意喚起があったからかな。
URLリンク(www.npa.go.jp)
の作成時刻が17時過ぎになっているようだし。
警察の文書は攻撃に対しての注意喚起だけど、本来なら危険な
大穴が…という時点で、海外メディアの後追いででも報じていて
当然だろうけど。CNN、ロイター、AFP等々、ネット関係のメディア
よりははるかに遅いにしても、すでに大きく報じていたわけだから。
487:名無しさん@13周年@転載禁止
14/04/12 08:27:15.32 1mArWHFf0
ログインしないほうがいいって言うけど
登録してるクレカ削除しなくて大丈夫なのかな?
488:名無しさん@13周年@転載禁止
14/04/12 09:32:38.63 FVWl/NJi0
>>487
すでに収集されてれば今から消しても意味はない。
まだ収集されてないならサーバ内にあるだけだからそっとしとけば誰にも見られない。
ログインすればその通信を傍受・解読されて盗まれる可能性がある。
と言っても通信を傍受されてることなんてほとんど無いから、お前が通信を控えること自体はまず意味がない。
なので、さっさとログインして消しておく方が無難だとは思う。
まだ盗まれてなくてもこれから管理者パスワードとか盗まれないとも限らないし。
まあ、めんどくさいんでおれはそんなことしないし、普通に買い物もしちゃうけど。
489:名無しさん@13周年@転載禁止
14/04/12 09:37:25.57 UxyYAghP0
>>366
その攻撃の仕方がわからんのだが
>>483
OSとバージョンによる
クグればまとめサイトがあるよ
490:名無しさん@13周年@転載禁止
14/04/12 09:50:58.31 x/5j3mwM0
昨日自分が使ってるサイトについて調べてたけど
あんまり大々的にニュースになってない割にどこも対応早いな
取りあえず金融系とSNSについてはパスワード変更しておいた
491:名無しさん@13周年@転載禁止
14/04/12 10:42:17.20 6Or/V6Xf0
M$とかってのは、実は一番危険。誰が何を仕込んだかわからん。
492:名無しさん@13周年@転載禁止
14/04/12 10:49:43.88 6Or/V6Xf0
OpenBSD, OpenSSLと訣別
tyamagch曰く、"daemonnewsの記事から OpenBSD Projectが、SUNから暗号化技術の寄付を受けたOpenSSLと訣別するらしい。Theo de Raadt氏は「Sunから寄付を受けたOpenSSLはもはや『フリーなソフト』とは言えない」と述べている。
IPFilterに対するpfなどの例からして、同じ機能のソフトを組み込むのだろうが、そのエネルギーには脱帽するしかない。 (daemonnewsには新しいソフトの名前は「OpenOpenSSL」?、「TheoSSL」? 「FreeSSL」というちゃちゃがあった。)"
493:名無しさん@13周年@転載禁止
14/04/12 13:40:31.63 PIGzyXMY0
おおごとなのだけしか分からないage
494:名無しさん@13周年@転載禁止
14/04/12 13:42:13.95 mzIbzOS/0
誰か馬鹿にも解る様に説明してくれよ
小学生だってネット使う時代なんだぜage
495:名無しさん@13周年@転載禁止
14/04/12 13:43:20.11 pc9nQ+H70
で?結局どうすればいいの?
(´・ω・`)
496:名無しさん@13周年@転載禁止
14/04/12 13:45:25.24 eAI/2i2X0
俺が若ハゲで炉利好きってのがバレ無きゃ ドーでもいいわ
497:名無しさん@13周年@転載禁止
14/04/12 13:51:54.36 AtCBiQv40
クレカのサイトに不正アクセスの案内が載ってたな
バグありのバージョン使ってるかどうか調べてやがるのか
498:名無しさん@13周年@転載禁止
14/04/12 14:27:37.35 8/pb6csj0
>>480
openだから発覚したんだが?
closedだと全くわからず使ってる可能性が高い。
499:名無しさん@13周年@転載禁止
14/04/12 14:38:51.28 2O8X6+qw0
まぁクライアントPCは影響はないと思うが libeay32.dll と ssleay32.dllを検索して
バージョンを見て 1.0.1.6以前だったら 1.0.1.7以降のものに入れ替えとけ。
0.9系は対象外
500:名無しさん@13周年@転載禁止
14/04/12 14:43:57.37 2O8X6+qw0
>>483
CentOSやRedHatは1.0.1gにするんでなく、1.0.1eベースにパッチ当てで
配布だから 1.0.1e-15で対処済みのはず。
どっかに各ベンダーの対応バージョン一覧があった。
501:名無しさん@13周年@転載禁止
14/04/12 15:29:40.36 gEkU40nn0
もう大体対応しただろうから、2年前から数日前までに穴が空いてたサイトの一覧を公表してくれ。
PFSに対応してたTwitterとかなら、仮に脆弱だったとしても鍵が毎回違うから狙われてないと思うけど。
その期間に漏れたのは仕方ないから、パスだけ変えとく。
502:名無しさん@13周年@転載禁止
14/04/12 15:34:12.73 o4xXqCWGI
どのサイト使ってたらヤバイの?
誰か教えておくれ
503:名無しさん@13周年@転載禁止
14/04/12 15:35:09.10 2O8X6+qw0
>>232
pingみたいなもの
504:名無しさん@13周年@転載禁止
14/04/12 16:18:22.64 8KauJMnP0
FWのセッションテーブルから落ちないようにSSHが飛ばすHeartbeatと同じ?
505:名無しさん@13周年@転載禁止
14/04/12 16:32:06.47 Afn5QsIB0
>>484
ドヤ顔で書き込んだのがそれ?
506:名無しさん@13周年@転載禁止
14/04/12 16:58:43.73 knCGWssx0
>>502
ぶっちゃけヤバくない
チェックサイトでチェックしてみて未対応ならそこの管理体制はかなりヤバい
507:名無しさん@13周年@転載禁止
14/04/12 17:04:01.25 2O8X6+qw0
>>504
keep-alive用途ってことだから同じだろうね。
仕組みとしては、こちらから送ったデータをそのまま送り返してくる機能だそうだけど、
送る側が実際のデータ長と違う数値を、ヘッダーのデーター長エリアに記載して送ると、
その記載されたデーター長のデータをメモリから拾って送り返してくる。
送るデータが0バイトなのに、ヘッダーに64Kバイトと書いて送ると、サーバーは
受信バッファのメモリ領域64kバイトを切り取って送り返してくるらしい。
受信バッファには直前に受信したデータとかが残ってたりするから、それが流出してしまうという。
508:名無しさん@13周年@転載禁止
14/04/12 17:22:06.76 1pRre64/0
>>507
あんまよう、わかってないから勘違いだったらごめんなさい。
open-SSLの、keep-alibe(ハートビート?)機能ってのは
宅急便でいえば
クライアント:「あなたに64kgの荷物を送ります(送り状に内容物64kgと記載)」
→サーバー:「はい受け取りました、64kgの荷物をそのまま送り返します」
荷物が送り返されてくるかで、「通信相手のサーバの生死を判断」している。
ところが、今回の場合、
クライアント:「あなたに64kgの荷物を送ります(送り状に内容物64kgと記載)(だが中身は実は空)」
→サーバ:「はい受け取りました、だけど空っぽなので私の持っている荷物、64kg分(これが暗号化用の情報が格納されていることがある)を入れて送り返します」
って感じ?
509:名無しさん@13周年@転載禁止
14/04/12 17:34:27.61 2O8X6+qw0
>>508
>→サーバ:「はい受け取りました、だけど空っぽなので私の持っている荷物、
>64kg分(これが暗号化用の情報が格納されていることがある)を入れて送り返します」
サーバーは送られてきた荷物が64kgあるのか、からっぽなのか確認せず伝票に
書かれている64kgというのを見て、そこら辺にあった荷物64kgを送り返すって感じかな。
サーバー側が伝票だけ見て、実際に送られてきた荷物を確認していないのが、
今回の事態を引き起こしたんだよね。
510:名無しさん@13周年@転載禁止
14/04/12 17:45:46.96 1pRre64/0
>>509
ありがとうございます。勉強になりました。
511:名無しさん@13周年@転載禁止
14/04/12 17:54:15.81 x/5j3mwM0
>>502
今はもう大体対応済みだけど、
一応パスワード替える程度はしておいた方がベターかも
まあこういうの無くても定期的にやった方が良いんだけど
512:名無しさん@13周年@転載禁止
14/04/12 18:29:18.44 1/rLwN+V0
>>483
ディストリビューションの1.0.1eは対策済みと未対策のバージョンが細かい末尾
の番号で分かれるようだ
513:名無しさん@13周年@転載禁止
14/04/12 21:10:48.10 g/trDRPR0
gmailはパス変更不要でFA?
514:名無しさん@13周年@転載禁止
14/04/12 23:05:17.61 f0fEmoZJ0
プログラムのバグの結果でなく、
意図的にプログラムされたものだとしたら
515:名無しさん@13周年@転載禁止
14/04/13 03:14:17.74 gA+CSMUa0
>>514
どういう理由で必要だと思って実装したのか
その実装した人に聞かんと分らんだろうね
これが無いバージョンのものでもなんら問題は無かったわけだから。
516:名無しさん@13周年@転載禁止
14/04/13 03:33:04.76 +81LNyoC0
はぁ?
HeartBeat Extension は RFC6520 で規定されている TLS の正式な機能ですけど…
思いつきで実装するわけねーだろ
RFC6520を100回読めカス
517:名無しさん@13周年@転載禁止
14/04/13 03:46:07.70 TBbJPSzt0
なんでそれがRFCに盛り込まれたか、まで話が広がるだけだろ。
そっちはソースコード追っただけじゃ分からん話だし。
518:名無しさん@13周年@転載禁止
14/04/13 03:48:34.94 +81LNyoC0
RFCに書いてあるから読め
読んで納得いかなかったらまた来いや
519:名無しさん@13周年@転載禁止
14/04/13 05:03:26.80 nHY5B9AJ0
>>25
軍の極秘機密の兵器なのに部外者や敵軍が簡単に操縦できてしまう。
520:名無しさん@13周年@転載禁止
14/04/13 08:08:59.69 w+Dn6yr00
>>516
“なぜTheo de RaadtはIETFに激怒しているのか”で検索してみたら
リンク貼りたかったけど貼れなかった