パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SSL 3.0に深刻な脆弱性が見つかる」記事へのコメント

  • by kawakazu (45966) on 2014年10月15日 22時32分 (#2694440) 日記
    各社携帯電話のフーチャーフォンの標準Webブラウザの仕様について調べたら
    ドコモ及びソフトバンクはTLS1.0をサポートしていますが、auはSSL3.0のみサポートしています。

    各携帯電話会社が数年前の端末のアップデートは行うことは、考えにくいので、
    脆弱性対処の為に単純にSSL 3.0を停止することは難しいかなあと思っています。

    TLS1.0もBEAST攻撃などの脆弱性がありますので、端末によっては
    TLS1.1以上しか有効になっていない場合もブラウザもあります。

    なので、この脆弱性によりi-modeなどのフューチャーフォン向けのサービスは
    もう諦める段階なのかあと考えています。

    今は、どうやってお客様に報告すればいいか考え中です。
    はあー

    参考URL
    SSL/TLSバージョン 作ろうiモードコンテンツ:主なスペック | サービス・機能 | NTTドコモ
    http://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/ind... [nttdocomo.co.jp]

    KDDI au: EZfactory > WEBページ
    http://www.au.kddi.com/ezfactory/web/ [kddi.com]
    ※EZweb全般のPDFに記載があります

    Mobile Creation | ソフトバンクモバイル
    http://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html [softbank.jp]
    • by Anonymous Coward on 2014年10月15日 23時11分 (#2694457)

      重箱の隅をつつくようですが、「ガラケー」をもっともらしく言う時は「フィーチャーフォン」です。
      "Future"(未来)ではなく、"Feature"(特色・特徴)なので、お間違えなきよう……

      親コメント
      • by Anonymous Coward

        ガラケーこそが我らが夢見た未来の姿なのだよ

        • by Anonymous Coward

          時は未来 所は宇宙 光すら歪む果てしなき宇宙へ 愛機コメットを駆るこの男
          #それはフューチャーメン

    • by Anonymous Coward

      SHA-2対応ケータイアップデートについて
      を読めば少なくとも2012年時点でTLSが利用であることがわかります、単にドキュメントが更新されていないだけでは

      • by Anonymous Coward

        >5 月 24 日より開始されたケータイアップデートにより、EZ ブラウザで TLS の拡張をサポートいたします。
        >(F001 および 12 夏以降の機種では、発売時点で TLS の拡張をサポートしております。)

        http://www.au.kddi.com/ezfactory/web/pdf/sha-2_update.pdf [kddi.com]

        という事で一安心のようです。

    • by Anonymous Coward

      未来の携帯電話なら問題ないんじゃないでしょうか

    • by Anonymous Coward

      確かauだと、、、
      4年前(2010年)のセキュリティアップデートでは2006年発売の端末も対象だったりしたなぁ
      2年前(2012年)のSHA-2対応の大量アップデートでは2008年発売の端末も(ry

      #4年くらいは賞味期限なん?

    • by Anonymous Coward

      TLS_FALLBACK_SCSVを使ってせめてダウングレード攻撃を受けないようにするのが現実解になるんだろう

    • by Anonymous Coward

      まずフィーチャーフォンからのアクセスを簡単にPOODLE攻撃できる
      説得力のあるシナリオを書くところから始めないと

    • by Anonymous Coward

      既出だったらすみません。
      Microsoftのアドバイザリで、
      「CBCモードを使用しないすべての暗号は影響を受けません」となっているけど、
      SSLv3は残したまま、
      SSLCipherSuiteでCBCモードを利用しないように設定すれば良いのかな?

      • by Anonymous Coward

        SSL 3.0で使えるCBCモードじゃないcipher suiteって、現実的な脆弱性が指摘されてるRC4しかないよ

    • by Anonymous Coward

      かんたんログインのとき端末IDの偽装を防げないからSSLは不可とか平気でのたまうガラケーのサポート状況とか心底どうでもいい。

    • by Anonymous Coward

      そもそも「かんたんログインでの端末IDの偽装を防げないからSSL不可」なんて議論が平然と行われるガラケーの世界で「Cookieが横から盗まれちゃう!」とか限りなくどうでもいい話だと思うんですが。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...