パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

三菱UFJニコス、OpenSSLの脆弱性を狙った攻撃を受けて会員情報が不正に閲覧される」記事へのコメント

  • by Anonymous Coward on 2014年04月20日 13時11分 (#2585568)

    なんで対処するソフトを入れる前にバージョンアップしなかったんだろ
    OpenSSLはとっくに対応版あがってる頃だし なくてもHeartbeat拡張オフにすればいい
    大手の対応なんてそんな程度といえばそうなんだけどさ

    • by Anonymous Coward on 2014年04月20日 15時10分 (#2585613)
      緊急対応としては「Heartbeat拡張オフ」は現実的な方法だよね。
      なにかあったらオンにすれば戻せるわけだし。

      不正なパケット検出する仕組みとかはないのかな?サードパーティファイアウォール/ウィルス対策入れとけば大丈夫とか。
      それはそれで影響でかそうで承認まで時間かかるだろうけど。
      親コメント
      • by Anonymous Coward

        その「なにかあったら」で責任を問われるんだからそりゃ慎重にもなるわな。

        情報盗まれるならサービス止まる方がまし、ってサービスする側も受ける側も、ひいては世間が意識を変えないとどうにもならん。

        • by Anonymous Coward

          緊急時に即時にサイトを停止する機能と耐性をちゃんと用意してあるシステムの割合ってどれくらいだろう

          すぐに停止するように世間が変わるのには教訓となる良い事例にはなってくれたかな

      • by Anonymous Coward

        知っている限りで言うとパロアルトが脅威防御シグネチャを提供 [paloaltonetworks.jp]と言ってます。

        ※実はリンク先見てないww

        たしか他社のNFWでもチェックできるという話を聞いたような気がするんだけど………行ったイベントで言うとHPかな?

      • by Anonymous Coward

        再コンパイルしてインストールし直しだし、そう簡単にオン・オフ切り替えられるわけじゃないでしょ。
        どういうやり方でOpenSSLをインストールしたのかわからないが、自分なら普通にパッケージ管理で更新する。
        さすがに金融機関のサーバーOSならサポート付きだろうし、サポート企業の指示の下、迅速に実施出来たと思うけどなぁ。

        • by Anonymous Coward
          おー、NO_HEARTBEATSオプションでの再コンパイルが必要だったんですね。

          指摘ありがとうございます。
    • by Anonymous Coward on 2014年04月20日 16時11分 (#2585629)

      バージョンアップしたらとたんに動かなくなることがあるからなかなかそういうことはできないのよ
      単体テストだけじゃあミドルウェアのバージョンアップには対応できないから人力でのテストもいるし

      親コメント
    • by Anonymous Coward

      実施承認までのプロセスに時間がかかるんでしょう
      大手なら余計に。

      • こんなときに例の巫女さんエンジニアがいればねーw
        きっと侵入される前にサーバーを落としてくれたに違いない。
        親コメント
      • by Anonymous Coward

        外から見ると導入中のOpenSSLの更新と暫定的に対処するソフトとやらの新規導入なら
        新規導入の方が実施まで時間かかりそうなもんですがこのあたりは憶測しかできませんね

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...