アカウント名:
パスワード:
あれを発見するためには、SSLの仕様を知り尽くしていないといけないわけで、そんな人が全世界に何人いるか…。
みずほのシステム部隊の全員をフルタイムで投入しても見つかる気がしない。
仕様を知り尽くしている必要は必ずしもないとは思います。Fixこれですし、 http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902 [openssl.org]
仕様と適切なレビューの機会があれば、一般的な開発スキルで発見可能かと。ただ、出来上がったリリース物からこれを見つけ出すのは難しいかもしれません。ネットつながらない部屋に閉じ込めてこれを探させるのは良い演習問題かも。# あわよくば賢い静的解析ツールに引っかかりそうな気もしますがダメだったのかな。
># あわよくば賢い静的解析ツールに引っかかりそうな気もしますがダメだったのかな。
有料の賢いツールでは仮にひっかかっても結果を公開できないですよねー
ユーザとしてレポートを送るぐらいはできるんじゃないかな?意味を理解したなら脆弱性通報してもいいし。
ツールごとに違うんで利用条件はよく読んだほうがいいよオープンソースものには使うことすらNGというのが以前あった
「有料の賢いツールでは仮にひっかかっても結果を公開できない」って「オープンソースものには使うことすらNGというのが以前あった」って意味だったのか。
主張のものすげー後退ぶりに失笑。#本当にそういうソフトが「以前あった」かどうかすら怪しいレベル。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
heartbleedの例を一般化はできないような (スコア:0)
あれを発見するためには、SSLの仕様を知り尽くしていないといけないわけで、そんな人が全世界に何人いるか…。
みずほのシステム部隊の全員をフルタイムで投入しても見つかる気がしない。
Re:heartbleedの例を一般化はできないような (スコア:4, 参考になる)
仕様を知り尽くしている必要は必ずしもないとは思います。
Fixこれですし、
http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902 [openssl.org]
仕様と適切なレビューの機会があれば、一般的な開発スキルで発見可能かと。
ただ、出来上がったリリース物からこれを見つけ出すのは難しいかもしれません。ネットつながらない部屋に閉じ込めてこれを探させるのは良い演習問題かも。
# あわよくば賢い静的解析ツールに引っかかりそうな気もしますがダメだったのかな。
Re: (スコア:0)
># あわよくば賢い静的解析ツールに引っかかりそうな気もしますがダメだったのかな。
有料の賢いツールでは仮にひっかかっても結果を公開できないですよねー
Re: (スコア:0)
ユーザとしてレポートを送るぐらいはできるんじゃないかな?
意味を理解したなら脆弱性通報してもいいし。
Re:heartbleedの例を一般化はできないような (スコア:1)
ツールごとに違うんで利用条件はよく読んだほうがいいよ
オープンソースものには使うことすらNGというのが以前あった
Re: (スコア:0, おもしろおかしい)
「有料の賢いツールでは仮にひっかかっても結果を公開できない」
って
「オープンソースものには使うことすらNGというのが以前あった」
って意味だったのか。
主張のものすげー後退ぶりに失笑。
#本当にそういうソフトが「以前あった」かどうかすら怪しいレベル。