TLS のLogjam の脆弱性、実はIEは既に安全らしい
Logjam: How Diffie-Hellman Fails in Practice
脆弱性チェックのサイトへ IE8や IE11で接続すると
Good News! Your browser is safe against the Logjam attack.
TLSに新たな脆弱性「Logjam」、多数のサーバーや主要ブラウザーに影響 - INTERNET Watch - 脳脂肪のパクリメモ
本当か?
TLSに新たな脆弱性「Logjam」、多数のサーバーや主要ブラウザーに影響 -INTERNET Watch
主要ニュースを見ると、IEを含む、すべてのブラウザーが影響を受けるとあるのですが・・・。
Logjam Flaw Cracks All Browsers but Internet Explorer
IEを除くすべてのブラウザが Logjam でクラックされる欠陥。
これを書いている火曜日の朝(5月20日)の時点では、主要なWebブラウザの中で唯一Microsoft Internet Explorerだけがこの脆弱性に対してパッチが適用されている。
Google ChromeやMozillaのFirefoxやアップルのSafariの最新バージョンは、Windows、OS X、AndroidとiOSの上で脆弱です。
(皮肉なことに もはや開発も配布もされていない、Windows用のSafariの古いバージョンでは安全でした)
・ω・ 大手ニュースが間違ってるだけみたいですね。
ちなみに、Windows 2000やXPのIEだと接続自体不可能でした(Logjamにたいしてはつまり安全?でも、他では危険なので使っちゃだめですよ)
おまけ
Opera 12.17 on Windows 2000
Opera 12 最強伝説再び…。
IE11最新状態でもまだ対応されていません。
IE11で試した人によると、脆弱性判定でなかったそうですが
ソースありますか・ω・?
FirefoxにNoscript入れているので、そのページにアクセスすると「Please enable Javascript from *.jquery.com, weakdh.org, and *.zmap.io, or try loading this website. 」というのが出てきます。
weakdh.orgのみ許可だと真っ白で何も出ない。
weakdh.org+code.jquery.comを許可だとGoodNews。
weakdh.org+code.jquery.com+dhe512.zmap.ioを許可だと真っ赤でブラウザの更新を、でした。
ブラウザの設定によって判定が違うみたいんですね。
XPの場合でアレだけど・・・
Firefoxと派生系は手動で設定すればかなり古いのでもLogjam無効化出来るみたい
Chromeと派生系はややこしくて使いにくいが起動オプションで出来るようだ
ECDHE ECDSA AES 128/256 SHA/GCM SHA256
ECDHE RSA AES 128/256 SHA/GCM SHA256
この手の方式だけ許可しとくのが解読されにくさでは最強っぽいかな?
一応自分の所は大きな問題はないけど、サイト側の対応状態によっては限定する事で繋がらないと言う副作用あるかも
Opera 12は聞いてきてくれるけど・・・対応通信方式が古いのがアレだな、3.5あたりのお古のFOXにも負ける
IE8やSafariも搭載されている通信方式が同じく更に古いです・・・最強が3DESではなー
ただしSleipnir等一部のChrome系は起動プログラムから別に本体呼び出していて起動オプション効かないので対策不能
昔から強度のある通信方式搭載してたり
TLS周りの設定のしやすさではFoxがやりやすいかと
みんなFOXかOperaみたいに細かい方式ごとに選択できるようになってればいいのに
頭の中で何か引っかかっていたので調べたらFREAKの件が同様の物ですね。
その時にFirefoxの暗号化を弄っておいたままで今回の件は対応出来ていました。
中間者攻撃はこれから現実味を帯びてきますのでこういった対策は随時適応するべきだと思います。
詳細はpiyologとぼちぼち日記が参考になります。