Sophos ブログのSSL脆弱性の記事がXPをディスるために誇張されてる件

POODLE attack takes bytes out of your encrypted data – here’s what to do | Naked Security

SSL の脆弱性 "POODLE" とその対策について - 10月 - 2014 - Sophos Press Releases, Security News and Press Coverage - Sophos Press Office | Sophos News and Press Releases - ソフォス

セキュリティ会社 Sophos のブログ記事が 2週間前の原文の記事を日本語化したので読んでみたのですが、

問題は、SSL 3.0 であり、パディング処理を適切に検証していないことです。

SSL 3.0 は、SSL プロトコルの古いバージョンであり、実際に XP と同じぐらい古いものです。

TLS 1.0、TLS 1.1、および TLS 1.2 など、より安全なプロトコルが利用可能になっています。

SSL 3.0 を使用しない取り組みを一緒に始めましょう。

ネットスケープコミュニケーションズ社がSSL 3.0を発表したのは 1995年。
Windows 95の IE 3.0以降にはすでに実装されていたし、Windows 98には既に標準搭載されていました。

2001年に発売された XPと同じくらい古い? いや、19年前と13年前ってずいぶん違うと思うんですけどね ・ω・

しかし、Naked Security がホストされている WordPress.com VIP
は、ソフォスのこのサイトを含めてすべてのサイトで SSL 3.0 を無効に設定したと通知してきましたが、SSL 3.0 で接続するユーザーは
1000 人に 1 人だとも指摘しています。


これらの 1000 分の 1 のユーザーは、POODLE よりも大きな問題を抱えています。これらのユーザーが SSL 3.0 を使用しているのは、Windows XP で IE 6 を使用しているからです

1000人に1人がXPをIEで使ってるから問題だとか嘘にしては酷すぎる・ω・

XPのOSシェアは現在も 20%を占め、うち半分近くがIEを使っている。
XPでも、IE7を使っているのならば、TLS1.0が既定で有効になってるので、SSL3.0を無効にしてるのに、SSL 3.0で接続しないという選択肢が可能なのです|・ω・)。 o  (  訳が分からないよ )

Windows 3.1でさえ、IE4を入れればTLS 1.0を利用できるので、SSL 3.0を使わざる得ないユーザが 0.1%もいるとはとても思えません。

SSL 3.0の脆弱性に関する基礎知識
あえて言うなら、TLS1.0の脆弱性CVE-2011-3389 が対応できてない素の Windows 2000以前のOSを使ってるユーザーならアクセスする上でセキュリティ上の問題があると思います。

Windows 2000以前でIEを利用してアクセスしてるユーザなら 0.1%位でもおかしくはありません

ブログ記事の内容を XP から Windows 98 / 2000に置き換えてみれば正しい内容になると思います

2014/10/30 昨日、英語のページに間違いを指摘したコメントを書き込んだら削除されたよ!

[Converted by win2k.org/urlchg.htm]POODLE attack takes bytes out of your encrypted data – here’s what to do | Naked Security

[Converted by win2k.org/urlchg.htm] SSL の脆弱性 "POODLE" とその対策について - 10月 - 2014 - Sophos Press Releases, Security News and Press Coverage - Sophos Press Office | Sophos News and Press Releases - ソフォス

ブログ記事を改ざんするとこうなります・ω・

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です