パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

FirefoxがSSL 2.0のサポートを廃止へ」記事へのコメント

  • by Anonymous Coward on 2005年09月07日 11時26分 (#794854)
    2.0にはセキュリティに関する多くの欠陥がある。
    どんな欠陥なのでしょうか。解説希望。
    • [SSL-Talk List FAQ] Secure Sockets Layer Discussion List FAQ v1.1.1 [opennet.ru] の "4.11) What is the difference between SSL 2.0 and 3.0?" にはいくつかの脆弱性が列挙されています。その筆頭は

      1. SSL 2.0 is vulnerable to a "man-in-the-middle" attack.

      つまり、サーバとクライアントの間に入って双方の通信を覗き見・改変できる脆弱性がプロトコル仕様自体に見つかっています。これだけでも使用を差し控えるに十分です。

      親コメント
      • その理解はちょっと違うのでは?
        それは、man-in-the-middleの方法で、使用する暗号の強度を下げられる攻撃があり得るという話です。
        直ちに「双方の通信を覗き見・改変できる」という話ではありませんね。
    • > どんな欠陥なのでしょうか。

      つ["SSL 2.0" 脆弱 [google.co.jp]]
      • 検索結果をざっと見渡す限り、バッファオーバーフローということですか?
        • by syun1rou (9886) on 2005年09月07日 12時53分 (#794932) 日記
          実装上の脆弱性とは別に、サポートするアルゴリズムが古くて少ない、というのがあります。
          認証の仕組みが3.0で強化されて、より厳密に行えるようになった、ような記憶もあります(うろ覚え)。
          プロトコル自体が、「欠陥」は言い過ぎだとしても、現在使うには脆弱である、
          と言えると思います。

          参考:IPAの「SSLの解説」
          http://www.ipa.go.jp/security/fy10/contents/over-all/02/22.html
          親コメント

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...