アカウント名:
パスワード:
なんで対処するソフトを入れる前にバージョンアップしなかったんだろOpenSSLはとっくに対応版あがってる頃だし なくてもHeartbeat拡張オフにすればいい大手の対応なんてそんな程度といえばそうなんだけどさ
その「なにかあったら」で責任を問われるんだからそりゃ慎重にもなるわな。
情報盗まれるならサービス止まる方がまし、ってサービスする側も受ける側も、ひいては世間が意識を変えないとどうにもならん。
緊急時に即時にサイトを停止する機能と耐性をちゃんと用意してあるシステムの割合ってどれくらいだろう
すぐに停止するように世間が変わるのには教訓となる良い事例にはなってくれたかな
知っている限りで言うとパロアルトが脅威防御シグネチャを提供 [paloaltonetworks.jp]と言ってます。
※実はリンク先見てないww
たしか他社のNFWでもチェックできるという話を聞いたような気がするんだけど………行ったイベントで言うとHPかな?
再コンパイルしてインストールし直しだし、そう簡単にオン・オフ切り替えられるわけじゃないでしょ。どういうやり方でOpenSSLをインストールしたのかわからないが、自分なら普通にパッケージ管理で更新する。さすがに金融機関のサーバーOSならサポート付きだろうし、サポート企業の指示の下、迅速に実施出来たと思うけどなぁ。
バージョンアップしたらとたんに動かなくなることがあるからなかなかそういうことはできないのよ単体テストだけじゃあミドルウェアのバージョンアップには対応できないから人力でのテストもいるし
実施承認までのプロセスに時間がかかるんでしょう大手なら余計に。
外から見ると導入中のOpenSSLの更新と暫定的に対処するソフトとやらの新規導入なら新規導入の方が実施まで時間かかりそうなもんですがこのあたりは憶測しかできませんね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
のんびりした対応だな (スコア:0)
なんで対処するソフトを入れる前にバージョンアップしなかったんだろ
OpenSSLはとっくに対応版あがってる頃だし なくてもHeartbeat拡張オフにすればいい
大手の対応なんてそんな程度といえばそうなんだけどさ
Re:のんびりした対応だな (スコア:1)
なにかあったらオンにすれば戻せるわけだし。
不正なパケット検出する仕組みとかはないのかな?サードパーティファイアウォール/ウィルス対策入れとけば大丈夫とか。
それはそれで影響でかそうで承認まで時間かかるだろうけど。
Re: (スコア:0)
その「なにかあったら」で責任を問われるんだからそりゃ慎重にもなるわな。
情報盗まれるならサービス止まる方がまし、ってサービスする側も受ける側も、ひいては世間が意識を変えないとどうにもならん。
Re: (スコア:0)
緊急時に即時にサイトを停止する機能と耐性をちゃんと用意してあるシステムの割合ってどれくらいだろう
すぐに停止するように世間が変わるのには教訓となる良い事例にはなってくれたかな
Re: (スコア:0)
知っている限りで言うとパロアルトが脅威防御シグネチャを提供 [paloaltonetworks.jp]と言ってます。
※実はリンク先見てないww
たしか他社のNFWでもチェックできるという話を聞いたような気がするんだけど………行ったイベントで言うとHPかな?
Re: (スコア:0)
再コンパイルしてインストールし直しだし、そう簡単にオン・オフ切り替えられるわけじゃないでしょ。
どういうやり方でOpenSSLをインストールしたのかわからないが、自分なら普通にパッケージ管理で更新する。
さすがに金融機関のサーバーOSならサポート付きだろうし、サポート企業の指示の下、迅速に実施出来たと思うけどなぁ。
Re: (スコア:0)
指摘ありがとうございます。
Re:のんびりした対応だな (スコア:1)
バージョンアップしたらとたんに動かなくなることがあるからなかなかそういうことはできないのよ
単体テストだけじゃあミドルウェアのバージョンアップには対応できないから人力でのテストもいるし
Re: (スコア:0)
実施承認までのプロセスに時間がかかるんでしょう
大手なら余計に。
Re:のんびりした対応だな (スコア:1)
きっと侵入される前にサーバーを落としてくれたに違いない。
Re: (スコア:0)
外から見ると導入中のOpenSSLの更新と暫定的に対処するソフトとやらの新規導入なら
新規導入の方が実施まで時間かかりそうなもんですがこのあたりは憶測しかできませんね