アカウント名:
パスワード:
重箱の隅をつつくようですが、「ガラケー」をもっともらしく言う時は「フィーチャーフォン」です。"Future"(未来)ではなく、"Feature"(特色・特徴)なので、お間違えなきよう……
ガラケーこそが我らが夢見た未来の姿なのだよ
時は未来 所は宇宙 光すら歪む果てしなき宇宙へ 愛機コメットを駆るこの男#それはフューチャーメン
お前はいきなり何を言い出してるんだ……
すみません、取り乱しました
SHA-2対応ケータイアップデートについてを読めば少なくとも2012年時点でTLSが利用であることがわかります、単にドキュメントが更新されていないだけでは
>5 月 24 日より開始されたケータイアップデートにより、EZ ブラウザで TLS の拡張をサポートいたします。>(F001 および 12 夏以降の機種では、発売時点で TLS の拡張をサポートしております。)
http://www.au.kddi.com/ezfactory/web/pdf/sha-2_update.pdf [kddi.com]
という事で一安心のようです。
未来の携帯電話なら問題ないんじゃないでしょうか
確かauだと、、、4年前(2010年)のセキュリティアップデートでは2006年発売の端末も対象だったりしたなぁ2年前(2012年)のSHA-2対応の大量アップデートでは2008年発売の端末も(ry
#4年くらいは賞味期限なん?
TLS_FALLBACK_SCSVを使ってせめてダウングレード攻撃を受けないようにするのが現実解になるんだろう
まずフィーチャーフォンからのアクセスを簡単にPOODLE攻撃できる説得力のあるシナリオを書くところから始めないと
接続もとを識別して許可するスイートを変えられる製品とは限らないので、、
既出だったらすみません。Microsoftのアドバイザリで、「CBCモードを使用しないすべての暗号は影響を受けません」となっているけど、SSLv3は残したまま、SSLCipherSuiteでCBCモードを利用しないように設定すれば良いのかな?
SSL 3.0で使えるCBCモードじゃないcipher suiteって、現実的な脆弱性が指摘されてるRC4しかないよ
かんたんログインのとき端末IDの偽装を防げないからSSLは不可とか平気でのたまうガラケーのサポート状況とか心底どうでもいい。
そもそも「かんたんログインでの端末IDの偽装を防げないからSSL不可」なんて議論が平然と行われるガラケーの世界で「Cookieが横から盗まれちゃう!」とか限りなくどうでもいい話だと思うんですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
各フューチャーフォンの状況 (スコア:5, 参考になる)
ドコモ及びソフトバンクはTLS1.0をサポートしていますが、auはSSL3.0のみサポートしています。
各携帯電話会社が数年前の端末のアップデートは行うことは、考えにくいので、
脆弱性対処の為に単純にSSL 3.0を停止することは難しいかなあと思っています。
TLS1.0もBEAST攻撃などの脆弱性がありますので、端末によっては
TLS1.1以上しか有効になっていない場合もブラウザもあります。
なので、この脆弱性によりi-modeなどのフューチャーフォン向けのサービスは
もう諦める段階なのかあと考えています。
今は、どうやってお客様に報告すればいいか考え中です。
はあー
参考URL
SSL/TLSバージョン 作ろうiモードコンテンツ:主なスペック | サービス・機能 | NTTドコモ
http://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/ind... [nttdocomo.co.jp]
KDDI au: EZfactory > WEBページ
http://www.au.kddi.com/ezfactory/web/ [kddi.com]
※EZweb全般のPDFに記載があります
Mobile Creation | ソフトバンクモバイル
http://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html [softbank.jp]
Re:各フューチャーフォンの状況 (スコア:1)
重箱の隅をつつくようですが、「ガラケー」をもっともらしく言う時は「フィーチャーフォン」です。
"Future"(未来)ではなく、"Feature"(特色・特徴)なので、お間違えなきよう……
Re: (スコア:0)
ガラケーこそが我らが夢見た未来の姿なのだよ
Re: (スコア:0)
時は未来 所は宇宙 光すら歪む果てしなき宇宙へ 愛機コメットを駆るこの男
#それはフューチャーメン
Re: (スコア:0)
お前はいきなり何を言い出してるんだ……
Re: (スコア:0)
すみません、取り乱しました
Re: (スコア:0)
SHA-2対応ケータイアップデートについて
を読めば少なくとも2012年時点でTLSが利用であることがわかります、単にドキュメントが更新されていないだけでは
Re: (スコア:0)
>5 月 24 日より開始されたケータイアップデートにより、EZ ブラウザで TLS の拡張をサポートいたします。
>(F001 および 12 夏以降の機種では、発売時点で TLS の拡張をサポートしております。)
http://www.au.kddi.com/ezfactory/web/pdf/sha-2_update.pdf [kddi.com]
という事で一安心のようです。
Re: (スコア:0)
未来の携帯電話なら問題ないんじゃないでしょうか
Re: (スコア:0)
確かauだと、、、
4年前(2010年)のセキュリティアップデートでは2006年発売の端末も対象だったりしたなぁ
2年前(2012年)のSHA-2対応の大量アップデートでは2008年発売の端末も(ry
#4年くらいは賞味期限なん?
Re: (スコア:0)
TLS_FALLBACK_SCSVを使ってせめてダウングレード攻撃を受けないようにするのが現実解になるんだろう
Re: (スコア:0)
まずフィーチャーフォンからのアクセスを簡単にPOODLE攻撃できる
説得力のあるシナリオを書くところから始めないと
Re:各フューチャーフォンの状況 (スコア:2)
接続もとを識別して許可するスイートを変えられる製品とは限らないので、、
Re: (スコア:0)
既出だったらすみません。
Microsoftのアドバイザリで、
「CBCモードを使用しないすべての暗号は影響を受けません」となっているけど、
SSLv3は残したまま、
SSLCipherSuiteでCBCモードを利用しないように設定すれば良いのかな?
Re: (スコア:0)
SSL 3.0で使えるCBCモードじゃないcipher suiteって、現実的な脆弱性が指摘されてるRC4しかないよ
Re: (スコア:0)
かんたんログインのとき端末IDの偽装を防げないからSSLは不可とか平気でのたまうガラケーのサポート状況とか心底どうでもいい。
Re: (スコア:0)
そもそも「かんたんログインでの端末IDの偽装を防げないからSSL不可」なんて議論が平然と行われるガラケーの世界で「Cookieが横から盗まれちゃう!」とか限りなくどうでもいい話だと思うんですが。