アカウント名:
パスワード:
そこで、IPAでは一般ユーザーに対して、ウェブサイトに確認するようアナウンスしています。
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応についてhttps://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html [ipa.go.jp]
ウェブサイトに問い合わせてもなかなか教えてくれないので、自分で調べた。
ググる先生に聞いて、http://web-aqua.jp/internet/2459/ 経由。
OpenSSL脆弱性バグ確認ツールCOMODO SSL Analyzer [slashdot.jp]https://sslanalyzer.comodoca.com/
URLを入力して、「Heartbeat」欄にに出力されるデータを確認してください。<脆弱性のあるバージョンで修正パッチが適用されていない場合>Vulnerable to Hearbleed attack INSECURE=危険
<脆弱性のないバージョンの場合>Heartbeat Not Supported Immune to Heartbleed attack=問題なし
<脆弱性のあるバージョンで修正パッチを適用済みの場合>
Heartbeat Supported Immune to Heartbleed attack=パスワード変更推奨
だそうです。とりあえずメインのクレジットカード会社は問題なしだった。でも、アナウンスがないので過去はわからない。。。安全を考えると、「問題なし」の結果でもパスワード替えたほうが良いのかも。
https://sslanalyzer.comodoca.com/ [comodoca.com]あれ?何度か編集してたらリンクが変になってた。上記URLが正しいです。
この「脆弱性バグ確認ツール」での確認が、Heartbleedアタックと誤認される恐れはないですかね?やってることはアタックそのものだと思われますし。(三菱UFJニコスの件もそうだったりして)
誤認か。。。一年以上も拘束されるのはいやだなぁ。ま、大丈夫じゃないですか?警察じゃあるまいし(笑)企業ならちょっとは調べるでしょう。
MDISっていう三菱系のベンダーがやらかした事をわすれたか?
警察より酷い企業なんていっぱいあるぞ?つか、ふつーに数と露出考えたらわかるやろ。
あー!そうですね、忘れてました。へっぽこ企業と警察コンビで大変な目に遭うって実例が。
でも、直接企業のサイトを覗いたわけでなく、アクセスしたのはcomodoca.comになるので大丈夫じゃないかと。
主役ではない裏方脇役にも渋いところがいます。JIS Q 15001 を貴社が取得できるお手伝いしています、チョロいです、みたいな会社があるわけですが、制度設計にかかわった情報処理推進機構はなんなんだか。プライバシーマーク制度を売り物にしたい会社を養っているがごとき扱いに頬かむりしている。などということも岡崎市立図書館の話題が賑わった当時に明らかになっていたり。現在は状況変わったんでしょうかねえ。情報処理推進機構なんだかなーと思っていますが組織の当人たちにとっては汚点などではないということか。
http://www.npa.go.jp/cyberpolice/detect/pdf/20140410.pdf [npa.go.jp] 警察庁の定点観測システムにおいても(略)このことから、同攻撃コードを使用して、脆弱性が存在するサーバ等の探索が実施されているものと考えられます。と http://www.symantec.com/content/ja/jp/enterprise/images/outbreak/Heart... [symantec.com] 脆弱なWeb サイトに対するスキャンは広く行われていますが、そのスキャンのほとんどは
この場合、アタックはcomodo caがしたことになるのでは?
でも海外の企業・金融機関・政府と取引する時は、日本の慣行が通用しないこともあるのでね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
セキュリティ対策なんかやるだけ無駄なのか? (スコア:3, 興味深い)
監視カメラをたくさん置いて監視してなければ不審者も泥棒も発見出来ないんだからネットだって同じことだ。
今回みたいな攻撃を検知するにはそれなりの設備が必要だし、中小企業レベルではそもそも不可能だろう。
発見して公表した企業よりも、音沙汰ない企業に対してどのように安全性を担保しているのか追求する風潮にならなければ、この先日本でのセキュリティ意識は向上しないんじゃなかろうか。
Re:セキュリティ対策なんかやるだけ無駄なのか? (スコア:3, 参考になる)
そこで、IPAでは一般ユーザーに対して、ウェブサイトに確認するようアナウンスしています。
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について
https://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html [ipa.go.jp]
OpenSSL脆弱性バグ確認ツール (スコア:1)
ウェブサイトに問い合わせてもなかなか教えてくれないので、自分で調べた。
ググる先生に聞いて、http://web-aqua.jp/internet/2459/ 経由。
OpenSSL脆弱性バグ確認ツール
COMODO SSL Analyzer [slashdot.jp]https://sslanalyzer.comodoca.com/
URLを入力して、「Heartbeat」欄にに出力されるデータを確認してください。
<脆弱性のあるバージョンで修正パッチが適用されていない場合>
Vulnerable to Hearbleed attack INSECURE
=危険
<脆弱性のないバージョンの場合>
Heartbeat Not Supported Immune to Heartbleed attack
=問題なし
<脆弱性のあるバージョンで修正パッチを適用済みの場合>
Heartbeat Supported Immune to Heartbleed attack
=パスワード変更推奨
だそうです。とりあえずメインのクレジットカード会社は問題なしだった。
でも、アナウンスがないので過去はわからない。。。
安全を考えると、「問題なし」の結果でもパスワード替えたほうが良いのかも。
Re:OpenSSL脆弱性バグ確認ツール (スコア:1)
https://sslanalyzer.comodoca.com/ [comodoca.com]
あれ?何度か編集してたらリンクが変になってた。
上記URLが正しいです。
Re:OpenSSL脆弱性バグ確認ツール (スコア:2, 興味深い)
この「脆弱性バグ確認ツール」での確認が、Heartbleedアタックと誤認される恐れはないですかね?
やってることはアタックそのものだと思われますし。
(三菱UFJニコスの件もそうだったりして)
Re:OpenSSL脆弱性バグ確認ツール (スコア:1)
誤認か。。。一年以上も拘束されるのはいやだなぁ。
ま、大丈夫じゃないですか?警察じゃあるまいし(笑)企業ならちょっとは調べるでしょう。
Re:OpenSSL脆弱性バグ確認ツール (スコア:2)
MDISっていう三菱系のベンダーがやらかした事をわすれたか?
Re: (スコア:0)
警察より酷い企業なんていっぱいあるぞ?
つか、ふつーに数と露出考えたらわかるやろ。
Re:OpenSSL脆弱性バグ確認ツール (スコア:1)
あー!そうですね、忘れてました。
へっぽこ企業と警察コンビで大変な目に遭うって実例が。
でも、直接企業のサイトを覗いたわけでなく、アクセスしたのはcomodoca.comになるので大丈夫じゃないかと。
Re:OpenSSL脆弱性バグ確認ツール (スコア:1)
主役ではない裏方脇役にも渋いところがいます。
JIS Q 15001 を貴社が取得できるお手伝いしています、チョロいです、みたいな会社があるわけですが、制度設計にかかわった情報処理推進機構はなんなんだか。プライバシーマーク制度を売り物にしたい会社を養っているがごとき扱いに頬かむりしている。
などということも岡崎市立図書館の話題が賑わった当時に明らかになっていたり。現在は状況変わったんでしょうかねえ。情報処理推進機構なんだかなーと思っていますが組織の当人たちにとっては汚点などではないということか。
Re: (スコア:0)
http://www.npa.go.jp/cyberpolice/detect/pdf/20140410.pdf [npa.go.jp]
警察庁の定点観測システムにおいても(略)このことから、同攻撃コードを使用して、脆弱性が存在するサーバ等の探索が実施されているものと考えられます。
と
http://www.symantec.com/content/ja/jp/enterprise/images/outbreak/Heart... [symantec.com]
脆弱なWeb サイトに対するスキャンは広く行われていますが、そのスキャンのほとんどは
Re: (スコア:0)
この場合、アタックはcomodo caがしたことになるのでは?
サイバーノーガード戦法は日本の裁判所も認める正当なセキュリティ対策です (スコア:0)
でも海外の企業・金融機関・政府と取引する時は、日本の慣行が通用しないこともあるのでね。