アカウント名:
パスワード:
そこで、IPAでは一般ユーザーに対して、ウェブサイトに確認するようアナウンスしています。
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応についてhttps://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html [ipa.go.jp]
ウェブサイトに問い合わせてもなかなか教えてくれないので、自分で調べた。
ググる先生に聞いて、http://web-aqua.jp/internet/2459/ 経由。
OpenSSL脆弱性バグ確認ツール COMODO SSL Analyzer [srad.jp]https://sslanalyzer.comodoca.com/
URLを入力して、「Heartbeat」欄にに出力されるデータを確認してください。<脆弱性のあるバージョンで修正パッチが適用されていない場合>Vulnerable to Hearbleed attack INSECURE=危険
<脆弱性のないバージョンの場合>Heartbeat Not Supported Immune to Heartbleed attack=問題なし
<脆弱性のあるバージョンで修正パッチを適用済みの場合>
Heartbeat S
https://sslanalyzer.comodoca.com/ [comodoca.com]あれ?何度か編集してたらリンクが変になってた。上記URLが正しいです。
この「脆弱性バグ確認ツール」での確認が、Heartbleedアタックと誤認される恐れはないですかね?やってることはアタックそのものだと思われますし。(三菱UFJニコスの件もそうだったりして)
誤認か。。。一年以上も拘束されるのはいやだなぁ。ま、大丈夫じゃないですか?警察じゃあるまいし(笑)企業ならちょっとは調べるでしょう。
MDISっていう三菱系のベンダーがやらかした事をわすれたか?
警察より酷い企業なんていっぱいあるぞ?つか、ふつーに数と露出考えたらわかるやろ。
あー!そうですね、忘れてました。へっぽこ企業と警察コンビで大変な目に遭うって実例が。
でも、直接企業のサイトを覗いたわけでなく、アクセスしたのはcomodoca.comになるので大丈夫じゃないかと。
主役ではない裏方脇役にも渋いところがいます。JIS Q 15001 を貴社が取得できるお手伝いしています、チョロいです、みたいな会社があるわけですが、制度設計にかかわった情報処理推進機構はなんなんだか。プライバシーマーク制度を売り物にしたい会社を養っているがごとき扱いに頬かむりしている。などということも岡崎市立図書館の話題が賑わった当時に明らかになっていたり。現在は状況変わったんでしょうかねえ。情報処理推進機構なんだかなーと思っていますが組織の当人たちにとっては汚点などではないということか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
セキュリティ対策なんかやるだけ無駄なのか? (スコア:3, 興味深い)
監視カメラをたくさん置いて監視してなければ不審者も泥棒も発見出来ないんだからネットだって同じことだ。
今回みたいな攻撃を検知するにはそれなりの設備が必要だし、中小企業レベルではそもそも不可能だろう。
発見して公表した企業よりも、音沙汰ない企業に対してどのように安全性を担保しているのか追求する風潮にならなければ、この先日本でのセキュリティ意識は向上しないんじゃなかろうか。
Re: (スコア:3, 参考になる)
そこで、IPAでは一般ユーザーに対して、ウェブサイトに確認するようアナウンスしています。
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について
https://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html [ipa.go.jp]
OpenSSL脆弱性バグ確認ツール (スコア:1)
ウェブサイトに問い合わせてもなかなか教えてくれないので、自分で調べた。
ググる先生に聞いて、http://web-aqua.jp/internet/2459/ 経由。
OpenSSL脆弱性バグ確認ツール
COMODO SSL Analyzer [srad.jp]https://sslanalyzer.comodoca.com/
URLを入力して、「Heartbeat」欄にに出力されるデータを確認してください。
<脆弱性のあるバージョンで修正パッチが適用されていない場合>
Vulnerable to Hearbleed attack INSECURE
=危険
<脆弱性のないバージョンの場合>
Heartbeat Not Supported Immune to Heartbleed attack
=問題なし
<脆弱性のあるバージョンで修正パッチを適用済みの場合>
Heartbeat S
Re: (スコア:1)
https://sslanalyzer.comodoca.com/ [comodoca.com]
あれ?何度か編集してたらリンクが変になってた。
上記URLが正しいです。
Re: (スコア:2, 興味深い)
この「脆弱性バグ確認ツール」での確認が、Heartbleedアタックと誤認される恐れはないですかね?
やってることはアタックそのものだと思われますし。
(三菱UFJニコスの件もそうだったりして)
Re:OpenSSL脆弱性バグ確認ツール (スコア:1)
誤認か。。。一年以上も拘束されるのはいやだなぁ。
ま、大丈夫じゃないですか?警察じゃあるまいし(笑)企業ならちょっとは調べるでしょう。
Re:OpenSSL脆弱性バグ確認ツール (スコア:2)
MDISっていう三菱系のベンダーがやらかした事をわすれたか?
Re: (スコア:0)
警察より酷い企業なんていっぱいあるぞ?
つか、ふつーに数と露出考えたらわかるやろ。
Re:OpenSSL脆弱性バグ確認ツール (スコア:1)
あー!そうですね、忘れてました。
へっぽこ企業と警察コンビで大変な目に遭うって実例が。
でも、直接企業のサイトを覗いたわけでなく、アクセスしたのはcomodoca.comになるので大丈夫じゃないかと。
Re:OpenSSL脆弱性バグ確認ツール (スコア:1)
主役ではない裏方脇役にも渋いところがいます。
JIS Q 15001 を貴社が取得できるお手伝いしています、チョロいです、みたいな会社があるわけですが、制度設計にかかわった情報処理推進機構はなんなんだか。プライバシーマーク制度を売り物にしたい会社を養っているがごとき扱いに頬かむりしている。
などということも岡崎市立図書館の話題が賑わった当時に明らかになっていたり。現在は状況変わったんでしょうかねえ。情報処理推進機構なんだかなーと思っていますが組織の当人たちにとっては汚点などではないということか。