アカウント名:
パスワード:
YOUはSSHでSSL使ってるのか?
・SSHとSSL/TLSは別物(レイヤーも違う)・OpenSSHはOpenSSLのライブラリを呼んでいるけど、SSL/TLSで通信しているわけではない。よって、SSL/TLSでの通信時にのみアタックされうる今回の脆弱性の影響は受けない。
名前も似てるんで色々勘違いしやすいですよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
外部というより通信相手 (スコア:0)
第三者が外からちょっかいを出してメモリダンプを読み出せるのかと焦った。
実際には、通信相手のメモリダンプを読み出せるという話か。
SSHサーバを立てているだけでもうダメだ、という話かとおもったけど、そこまでではないのか。
正規の通信相手の中に、信用できないユーザが混ざっている場合にマズいというぐらいかな?
HTTPSの場合は、正規の通信相手=世界中の誰でも、なので、誰にでもサーバの秘密鍵を引っこ抜くことが出来て、
それを使って、そのサーバへの通信が傍受できればデコードできて、マン・イン・ザ・ミドル攻撃もできるという、
実質的にHTTPSが無意味になると言う状態?
ついでに、HTTPサーバのメモリダンプも得られるので、関連するパスワード類もアウト?
SSHの場合は、sshdのプロセスのメモリダンプからルートのパスワードが引っこ抜かれるなどして、
ユーザに与えた権限以上の事をされてしまうかも知れない?
Re: (スコア:0)
YOUはSSHでSSL使ってるのか?
Re: (スコア:0)
てっきり、SSHはSSLを使って実装されているもんだとばかり。勘違いしていました。
Re: (スコア:0)
・SSHとSSL/TLSは別物(レイヤーも違う)
・OpenSSHはOpenSSLのライブラリを呼んでいるけど、SSL/TLSで通信しているわけではない。よって、SSL/TLSでの通信時にのみアタックされうる今回の脆弱性の影響は受けない。
名前も似てるんで色々勘違いしやすいですよね。
Re: (スコア:0)
あれこれ細かい調整を加えた物がSSHに進化したのかななどと漠然と想像していました。