OpenSSLの重大なバグって

1 :仕様書無しさん:2014/04/08(火) 22:52:56.23 .net
いくらお前らでも対策できないよな

81 :仕様書無しさん:2014/06/30(月) 02:31:43.98 .net

>>80
違うよ

61 :仕様書無しさん:2014/04/27(日) 20:37:20.96 .net

ドッグフードの話ってのはテストの有効性というより、もっと精神論的な、
自分で使えないようなものは本当に力を入れては作らない(だから使うべきだ)
ということじゃないの?

オプソ信者ってのはやっぱオープンイコール良い事、バグがすくなるなる、
みたいなこと根拠も無いのに言い過ぎたんだと思うよ。

金を取る商品だから、セキュリティ対策は万全にする。どこの馬の骨とも
知れぬやつがレベルの低いコードを混入させる恐れが少ないからセキュリティ
の問題が起きにくいのだ、といっても(その真偽は別として)理屈としては
通るでしょ。
それと同じような実証や調査を経ていない幻想だったんだよ。
オープンソース安全神話。

93 :仕様書無しさん:2014/09/23(火) 21:56:44.89 .net

>>92
古いやつは下手するとサポート切れ扱いで放置(→新しい製品に買い替えろ)なんてことになるのだろうね…。

45 :仕様書無しさん:2014/04/25(金) 09:33:00.92 .net

クローズドソースのほうが安全ですという奴は一生WinXP使ってろ

9 :仕様書無しさん:2014/04/10(木) 04:44:36.27 .net

>>6
Open XMLフォーマットを採用してるMS Office使えないじゃん

43 :仕様書無しさん:2014/04/25(金) 06:42:23.07 .net

本当のことじゃないから神話なんじゃないの?

11 :仕様書無しさん:2014/04/11(金) 03:24:51.20 .net

>>10
でもソフトがOpen XMLに対応している

78 :仕様書無しさん:2014/06/17(火) 09:48:36.39 .net

TheOpenSSL 2.0まだー?

39 :仕様書無しさん:2014/04/24(木) 21:51:18.47 .net

>>37
いや、うまい文章のまえに、ソースみてみろ。そのままだから。
ソース見たほうが圧倒的に早い。

12 :仕様書無しさん:2014/04/11(金) 18:35:00.89 .net

OpenSSLの脆弱性を含んだライブラリーを使った市販の製品もあるから、
クライアント側では、それらも対策しないといけないな。

65 :仕様書無しさん:2014/04/27(日) 22:48:10.95 .net

脆弱性(不具合)を見つけるとき
ハッカーはソース読むんだからな。

64 :仕様書無しさん:2014/04/27(日) 22:47:25.39 .net

その後見つかった不具合は
ソース読んで直すんだからな。

37 :仕様書無しさん:2014/04/23(水) 15:59:37.16 .net

>>35
いや、俺は上手い文章だと思うけど。
お客への説明に使えるし
マ板だからって全部プログラムで
書く必要も無いんじゃね?

74 :仕様書無しさん:2014/05/25(日) 21:58:14.01 .net

だかそれがいい。

70 :仕様書無しさん:2014/05/14(水) 14:51:38.72 .net

どんなに時が早く過ぎてもふたりだけはこのままでいようと誓った

68 :仕様書無しさん:2014/04/29(火) 00:38:45.54 .net

おまえらが食ってるのはタコの足だよ

56 :仕様書無しさん:2014/04/26(土) 23:05:13.41 .net

OpenSSLプロジェクトはお金と人を入れられるようでなにより
http://www.atmarkit.co.jp/ait/articles/1404/25/news150.html

22 :仕様書無しさん:2014/04/21(月) 09:03:27.16 .net

これつかうといいよ。
https://github.com/FiloSottile/Heartbleed
OpenSSLが更新されてても、デーモンとか再起動
しないと脆弱なままなので確実に調べるなら
この手のツールでHeartBeatがちゃんと意図した
動作をするか確認するのが確実。

84 :仕様書無しさん:2014/06/30(月) 03:01:03.25 .net

662 :名無しさん@お腹いっぱい。:2014/06/29(日) 08:54:33.38 ID:lqcrEoFq
>>660
>クライアント側のデータもしっかりと盗まれる。
だからこれはサーバ側のバグだろうが
メモリの内容を読み取るバグはサーバ側にあったんだよ
悪用すればクライアント側のメモリの内容を引き出すこともできるので
サーバ側のバグを潰したバージョンアップをした上で
バグサーバを悪用できないようにクライアント側の鍵も更新したわけ
>指摘されてんだからちゃんと調べてから反論しろよアホ。
指摘され修正されたのは上記の内容であって
クライアント側のバグなど指摘されていないw (略)

664 :名無しさん@お腹いっぱい。:2014/06/29(日) 09:28:28.68 ID:HzuQuOzg
(略) >>662
おまえ・・・原理まで説明されてるのに誤解続行とか信じられんレベルで馬鹿だな・・・(略)
http://www.infoq.com/jp/news/2014/04/android_heartbleed
> Googleは先週,Android 4.1.1にOpenSSLのHeartbleedバグが影響することを発表した
> TLS heartbeatには対称性があるため,クライアントとサーバのいずれがエンドポイントである場合にも悪用される可能性がある
http://www.cisco.com/cisco/web/support/JP/112/1122/1122331_cisco-sa-20140409-heartbleed-j.html
> 影響を受けるデバイスは、 SSL コネクションを終端する SSL サーバまたは、SSL コネクションを開始する SSL クライアントです
http://tosebro.hatenablog.com/entry/2014/04/27/013015
> リバースHeartbleedでは「リバース」の名の通り、サーバがクライアントを攻撃するHeartbleedである

675 :名無しさん@お腹いっぱい。:2014/06/29(日) 18:32:10.61 ID:7d3dDTJd
>>664
その解説は>>663と同じことを言ってるだけ
サーバのバグでクライアントも影響を受けると書いてあるわけだが
クライアントはサーバ側が境界検査することを前提にしているから
バグを悪用したサーバから不正な要求をされてもそれを防ぐようには作られていないって話

41 :仕様書無しさん:2014/04/25(金) 04:17:48.28 .net

ソース見たら分かるというのは詭弁

46 :仕様書無しさん:2014/04/25(金) 10:21:12.44 .net

>>45
最新のWindowsはオープンソースなのか?

77 :仕様書無しさん:2014/06/17(火) 09:19:15.39 .net

果たしてTheoは救世主となるか?

8 :仕様書無しさん:2014/04/09(水) 22:41:14.91 .net

いや、今まさに対応してきたんだが

59 :仕様書無しさん:2014/04/27(日) 12:50:29.96 .net

ドッグフードを食べるって知っているか?

割とよく知られるようになったのは戦うプログラマーあたりからだけど、
テストは万能じゃないから結局使いながらしかないってことなんだけどね。

69 :仕様書無しさん:2014/05/14(水) 10:02:20.24 .net

>>24
heartbeatな

14 :仕様書無しさん:2014/04/12(土) 13:40:21.26 .net

【ネット】暗号化ソフト欠陥、NSAは2年前から認識−情報収集に利用
http://ai.2ch.net/test/read.cgi/newsplus/1397276668/

13 :仕様書無しさん:2014/04/12(土) 07:38:09.78 .net

Windows Server無双

90 :仕様書無しさん:2014/07/05(土) 08:26:44.87 .net

オープンソースのレビューは
だれも確認してなくても時間が経過すると
OKみたいな不思議な仕組み

24 :仕様書無しさん:2014/04/23(水) 00:34:06.99 .net

>>22
HeartBleedな

79 :仕様書無しさん:2014/06/29(日) 22:53:31.82 .net

>>65
半分間違い。
実際にそれをよくやってる俺に言わせてみれば、コードを読んで「これ、バグだろ」って思うことは絶対にない。
動作をさせてみて、変な動作に気が付いて、デバッガでプロセスにアタッチしながらソースを見る。
そうやって、データの変化を見て、あれ?ここの処理??みたいな感じで発見に至る。

52 :仕様書無しさん:2014/04/25(金) 15:51:56.04 .net

やはり最強は北朝鮮が制作したRedStarLinuxだな

66 :仕様書無しさん:2014/04/27(日) 22:50:49.33 .net

おまえら何の話してんの?

47 :仕様書無しさん:2014/04/25(金) 10:55:22.73 .net

論理学的には最新のWindowsがオープンソースだろうがなかろうが
WinXPの安全性の真偽の命題には関係ないね。はい次の人どうぞ。

38 :仕様書無しさん:2014/04/24(木) 01:02:39.13 .net

>>37
とてもわかりやすいよな
これにケチつけるひねくれた性格が、この業界に性格の腐った奴が多いと思われる原因

32 :仕様書無しさん:2014/04/23(水) 04:08:39.61 .net

>>29
すげーわかりやすいな
多分ドキュメント作るセンスあるな

4 :仕様書無しさん:2014/04/09(水) 01:07:30.38 .net

影響あるのはフリーソフト使ってる奴らだけだろ?
プロプライエタリな俺らには関係ないよ

4 :仕様書無しさん:2014/04/09(水) 01:07:30.38 .net

影響あるのはフリーソフト使ってる奴らだけだろ?
プロプライエタリな俺らには関係ないよ

71 :仕様書無しさん:2014/05/16(金) 20:21:26.85 .net

>>31
そんなものはとっくの昔に無いと思う。

>>37
こないだの IE のセキュリティホール騒ぎに比べたら断然説明しやすいわな。

87 :仕様書無しさん:2014/07/01(火) 19:19:13.55 .net

701 :名無しさん@お腹いっぱい。:2014/06/30(月) 22:57:35.98 ID:AXin1lzd
>>692
>返答不能な要求に正しい応答なんてないしましてやメモリ漏らして良いなんて仕様は存在しない。

良いも悪いも、そもそもサーバ側のバグを悪用してクライアント側の
メモリを読まれるような状況は想定されていないし想定するのはおかしい
本来なら接続が維持できずメモリを読み出せずに終わるんだからね
サーバ側のバグを悪用してクライアント側のメモリが盗まれることを想定し
あらかじめクライアント側でそれに備えるということは、サーバ側のバグを
認知して放置していることに他ならず話として矛盾している

>広告の画像URLを攻撃用に取得したドメイン+証明書+攻撃用擬似TLSサーバにしておけば、
>OpenSSLを使って接続してくるWebブラウザに正しい証明書の組み合わせで攻撃を行う事が可能になる。

サーバ側のバグがなければ不可能
しかもWebブラウザとSimejiは関係ない

>実際にそれが理由でクライアントとしてOpenSSLを使うソフトウェアもアップデートを行った。

サーバ側にバグがあったからだろw
上に挙げた例で言えば、メールサーバがフィルタするはずの
ウイルスを送ってくるバグがあったから
メールソフト側で弾かざるを得なくなったようなもんで
それまで実装されていなかったのは別にクライアント側のバグではない

80 :仕様書無しさん:2014/06/30(月) 02:08:21.43 .net

>>79
それは君の能力が足りないだけでは。

3 :仕様書無しさん:2014/04/08(火) 23:07:17.71 .net

1.0.1なんて新しいバージョン使ってないし

49 :仕様書無しさん:2014/04/25(金) 14:20:25.54 .net

XPとだけ比べて欲しいから。
XPとなら勝てる(それ以降では負ける)と
思っているから。

19 :仕様書無しさん:2014/04/19(土) 09:34:47.11 .net

OpenSSLに限らずOpenBSDは遅くても良いから脆弱性を起こさない事を目標にしています。
http://slashdot.jp/story/05/08/25/0917258/OpenBSD%E3%80%81malloc3-%E3%… [slashdot.jp]
投稿からリンクされていますが、このmallocの変更は死ぬ程遅くなるはずです。
しかし、それでもOpenBSDは採用します。

もちろん、速度が欲しい場合もあると思いますが、
必要に応じて選べるのが良いと思います。

速度が必要ならオリジナルのOpenSSLを、SSLで通信しているのを覗かれたくない人はOpenOpenSSLを、と選べるようになってくれた方が嬉しいです。
あなたが覗かれても良いならどうぞOpenSSLを使ってください。
私は覗かれて欲しくないので、良いCPUのマシンとOpenOpenSSLを使います。

5 :仕様書無しさん:2014/04/09(水) 01:18:18.83 .net

アプリケーションサーバのSSL実装独自でやってるところあるんだ

10 :仕様書無しさん:2014/04/11(金) 01:43:51.84 .net

Open XMLフォーマットを使わなければよい

18 :仕様書無しさん:2014/04/18(金) 01:55:49.18 .net

>>5
普通RSAから買うだろ。

16 :仕様書無しさん:2014/04/12(土) 16:27:21.96 .net

Open-GLはいずこへ。

26 :仕様書無しさん:2014/04/23(水) 00:39:51.06 .net

HeartBleedが意図した動作しちゃダメだろ

96 :仕様書無しさん:2017/12/29(金) 21:57:51.45 .net

誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

JQ1HXG0THC

67 :仕様書無しさん:2014/04/29(火) 00:07:37.48 .net

お前ら、ドッグフードにソースかけて食うのか?

参考になったらSNSでシェアお願いします!

レスを投稿する(名前省略可)

この記事を読んだ方へのおすすめ

  • 【天才】επιστημη Part. 0x01【C++】

    元スレ 1 :仕様書無しさん:2010/06/17(木) 21:41:59 .net この人、C++すごいんだよね? 実際、何ができるの? 偉そうな口叩いているだけの実力があるのかな? 教えて、エロい人。 73 :仕様書…

  • 意識高い系プログラマの特徴

    元スレ 1 :仕様書無しさん:2016/02/08(月) 23:00:29.78 .net ・怠慢 ・短気 ・傲慢 繰り返し言う ・怠慢 ・短気 ・傲慢 意識高い系プログラマの特徴だ 間違ってないぞ。意識高い系プログラマ…

  • 素人のインタプリタを速くするスレ

    元スレ 1 :仕様書無しさん:2014/10/04(土) 20:01:10.18 .net http://www1.axfc.net/u/3334871 なんか遅い気がするので修正頼む。 知恵袋よりいいかなと思って立てま…

  • 天才ハッカーとかプログラマーが活躍する映画

    元スレ 1 :仕様書無しさん:2013/08/04(日) NY:AN:NY.AN .net おすすめを上げてってくれ! とりあえずFacebookのソーシャル・ネットワーキングって映画は見た 面白すぎて大興奮したわ! 天…

  • 【生産性直結】 開発用PCのスペックどれくらい?

    元スレ 1 :仕様書無しさん:2016/03/07(月) 06:24:36.81 .net プログラマは低いPCだと生産性大幅に落ちるからな。 偉くてもエクセルぐらいしか使わんやつはスペック不要 29 :仕様書無しさん:…

  • プログラマの雑談部屋 ★80

    元スレ 1 :仕様書無しさん:2019/08/12(月) 22:17:47.32 .net 仲良く雑談しましょう! デスマ報告やピンハネ率の告白は 詳細にお願いします! ※前スレ プログラマの雑談部屋 ★79 https…

  • ダブルバッファおさーんと遊ぼう!

    元スレ 1 :仕様書無しさん:2015/02/03(火) 04:32:38.16 .net x=1-x;よりもx^=1;のほうがセンスがあるよねっていう話でした。以上 ===================== 糸冬了 …

  • 仲介抜きでプログラマーに仕事が入る仕組み

    元スレ 1 :仕様書無しさん:2017/03/27(月) 03:50:14.94 .net を皆で考えよう 24 :仕様書無しさん:2017/03/30(木) 08:13:04.84 .net >>1 資金で…

  • 長い関数名をつける奴は技術力が低い

    元スレ 1 :仕様書無しさん:2014/11/08(土) 12:28:11.13 .net 汎用的な関数は短い名前。汎用的じゃない関数名は長くなる。 そういう関数はコードの中を見ないと何やってるかわからない。 名前と簡単…

  • 【多重派遣】無能時間外労働違反の代償【偽装請負】

    元スレ 1 :仕様書無しさん:2017/10/25(水) 09:26:56.96 .net 無能実態派遣残業する高稼働低所得者は辞めろ! 【契約料金や知的財産の生涯損害促進者ばかり】 [偽装請負多重派遣の従犯SEを追放す…

  • んなもんさあ、grepしてsedしてawkすれば簡単じゃん

    元スレ 1 :仕様書無しさん:2018/12/28(金) 23:51:26.98 .net 無能「???」 110 :仕様書無しさん:2019/04/20(土) 16:12:16.28 .net アスペ 125 :仕様書…

  • フリーランスって早い話日雇いだろ?

    元スレ 1 :仕様書無しさん:2018/10/17(水) 07:47:52.27 .net 名前変えて安心を得たいのかもしれんが。 44 :仕様書無しさん:2018/11/24(土) 01:30:39.93 .net フ…

最近のコメント

匿名 : 合同会社グラウンドステップ 被害者の会 part2
 吉川利幸さんが社長を務めるランサーズでの評価 すご... (5/05)
匿名 : Opera12(Presto) Part8
 Dragonflyが使えなくなったorg (6/25)
匿名 : あえてコマンドライン禁止のLinux
 いまではほとんどのディストリのインストで日本語環境までコマン... (6/15)
ページTOPへ↑