アカウント名:
パスワード:
2.0にはセキュリティに関する多くの欠陥がある。
[SSL-Talk List FAQ] Secure Sockets Layer Discussion List FAQ v1.1.1 [opennet.ru] の "4.11) What is the difference between SSL 2.0 and 3.0?" にはいくつかの脆弱性が列挙されています。その筆頭は
1. SSL 2.0 is vulnerable to a "man-in-the-middle" attack.
つまり、サーバとクライアントの間に入って双方の通信を覗き見・改変できる脆弱性がプロトコル仕様自体に見つかっています。これだけでも使用を差し控えるに十分です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
2.0 はどう危ないの? (スコア:1, 興味深い)
Re:2.0 はどう危ないの? (スコア:1)
[SSL-Talk List FAQ] Secure Sockets Layer Discussion List FAQ v1.1.1 [opennet.ru] の "4.11) What is the difference between SSL 2.0 and 3.0?" にはいくつかの脆弱性が列挙されています。その筆頭は
つまり、サーバとクライアントの間に入って双方の通信を覗き見・改変できる脆弱性がプロトコル仕様自体に見つかっています。これだけでも使用を差し控えるに十分です。
Re:2.0 はどう危ないの? (スコア:0)
それは、man-in-the-middleの方法で、使用する暗号の強度を下げられる攻撃があり得るという話です。
直ちに「双方の通信を覗き見・改変できる」という話ではありませんね。
Re:2.0 はどう危ないの? (スコア:0)
つ["SSL 2.0" 脆弱 [google.co.jp]]
Re:2.0 はどう危ないの? (スコア:0)
Re:2.0 はどう危ないの? (スコア:5, 参考になる)
認証の仕組みが3.0で強化されて、より厳密に行えるようになった、ような記憶もあります(うろ覚え)。
プロトコル自体が、「欠陥」は言い過ぎだとしても、現在使うには脆弱である、
と言えると思います。
参考:IPAの「SSLの解説」
http://www.ipa.go.jp/security/fy10/contents/over-all/02/22.html