OpenSSLの重大なバグって

>>80
違うよ

ドッグフードの話ってのはテストの有効性というより、もっと精神論的な、
自分で使えないようなものは本当に力を入れては作らない（だから使うべきだ）
ということじゃないの？

オプソ信者ってのはやっぱオープンイコール良い事、バグがすくなるなる、
みたいなこと根拠も無いのに言い過ぎたんだと思うよ。

金を取る商品だから、セキュリティ対策は万全にする。どこの馬の骨とも
知れぬやつがレベルの低いコードを混入させる恐れが少ないからセキュリティ
の問題が起きにくいのだ、といっても（その真偽は別として）理屈としては
通るでしょ。
それと同じような実証や調査を経ていない幻想だったんだよ。
オープンソース安全神話。

>>92
古いやつは下手するとサポート切れ扱いで放置(→新しい製品に買い替えろ)なんてことになるのだろうね…。

クローズドソースのほうが安全ですという奴は一生WinXP使ってろ

>>6
Open XMLフォーマットを採用してるMS Office使えないじゃん

本当のことじゃないから神話なんじゃないの？

>>10
でもソフトがOpen XMLに対応している

TheOpenSSL 2.0まだー？

>>37
いや、うまい文章のまえに、ソースみてみろ。そのままだから。
ソース見たほうが圧倒的に早い。

OpenSSLの脆弱性を含んだライブラリーを使った市販の製品もあるから、
クライアント側では、それらも対策しないといけないな。

脆弱性（不具合）を見つけるとき
ハッカーはソース読むんだからな。

その後見つかった不具合は
ソース読んで直すんだからな。

>>35
いや、俺は上手い文章だと思うけど。
お客への説明に使えるし
マ板だからって全部プログラムで
書く必要も無いんじゃね？

だかそれがいい。

どんなに時が早く過ぎてもふたりだけはこのままでいようと誓った

おまえらが食ってるのはタコの足だよ

OpenSSLプロジェクトはお金と人を入れられるようでなにより
http://www.atmarkit.co.jp/ait/articles/1404/25/news150.html

これつかうといいよ。
https://github.com/FiloSottile/Heartbleed
OpenSSLが更新されてても、デーモンとか再起動
しないと脆弱なままなので確実に調べるなら
この手のツールでHeartBeatがちゃんと意図した
動作をするか確認するのが確実。

662 ：名無しさん＠お腹いっぱい。：2014/06/29(日) 08:54:33.38 ID:lqcrEoFq
>>660
>クライアント側のデータもしっかりと盗まれる。
だからこれはサーバ側のバグだろうが
メモリの内容を読み取るバグはサーバ側にあったんだよ
悪用すればクライアント側のメモリの内容を引き出すこともできるので
サーバ側のバグを潰したバージョンアップをした上で
バグサーバを悪用できないようにクライアント側の鍵も更新したわけ
>指摘されてんだからちゃんと調べてから反論しろよアホ。
指摘され修正されたのは上記の内容であって
クライアント側のバグなど指摘されていないｗ (略)

664 ：名無しさん＠お腹いっぱい。：2014/06/29(日) 09:28:28.68 ID:HzuQuOzg
(略) >>662
おまえ・・・原理まで説明されてるのに誤解続行とか信じられんレベルで馬鹿だな・・・(略)
http://www.infoq.com/jp/news/2014/04/android_heartbleed
> Googleは先週，Android 4.1.1にOpenSSLのHeartbleedバグが影響することを発表した
> TLS heartbeatには対称性があるため，クライアントとサーバのいずれがエンドポイントである場合にも悪用される可能性がある
http://www.cisco.com/cisco/web/support/JP/112/1122/1122331_cisco-sa-20140409-heartbleed-j.html
> 影響を受けるデバイスは、 SSL コネクションを終端する SSL サーバまたは、SSL コネクションを開始する SSL クライアントです
http://tosebro.hatenablog.com/entry/2014/04/27/013015
> リバースHeartbleedでは「リバース」の名の通り、サーバがクライアントを攻撃するHeartbleedである

675 ：名無しさん＠お腹いっぱい。：2014/06/29(日) 18:32:10.61 ID:7d3dDTJd
>>664
その解説は>>663と同じことを言ってるだけ
サーバのバグでクライアントも影響を受けると書いてあるわけだが
クライアントはサーバ側が境界検査することを前提にしているから
バグを悪用したサーバから不正な要求をされてもそれを防ぐようには作られていないって話

ソース見たら分かるというのは詭弁

>>45
最新のWindowsはオープンソースなのか？

果たしてTheoは救世主となるか?

いや、今まさに対応してきたんだが

ドッグフードを食べるって知っているか？

割とよく知られるようになったのは戦うプログラマーあたりからだけど、
テストは万能じゃないから結局使いながらしかないってことなんだけどね。

>>24
heartbeatな

【ネット】暗号化ソフト欠陥、ＮＳＡは２年前から認識−情報収集に利用
http://ai.2ch.net/test/read.cgi/newsplus/1397276668/

Windows Server無双

オープンソースのレビューは
だれも確認してなくても時間が経過すると
OKみたいな不思議な仕組み

>>22
HeartBleedな

>>65
半分間違い。
実際にそれをよくやってる俺に言わせてみれば、コードを読んで「これ、バグだろ」って思うことは絶対にない。
動作をさせてみて、変な動作に気が付いて、デバッガでプロセスにアタッチしながらソースを見る。
そうやって、データの変化を見て、あれ？ここの処理？？みたいな感じで発見に至る。

やはり最強は北朝鮮が制作したRedStarLinuxだな

おまえら何の話してんの？

論理学的には最新のWindowsがオープンソースだろうがなかろうが
WinXPの安全性の真偽の命題には関係ないね。はい次の人どうぞ。

>>37
とてもわかりやすいよな
これにケチつけるひねくれた性格が、この業界に性格の腐った奴が多いと思われる原因

>>29
すげーわかりやすいな
多分ドキュメント作るセンスあるな

影響あるのはフリーソフト使ってる奴らだけだろ？
プロプライエタリな俺らには関係ないよ

影響あるのはフリーソフト使ってる奴らだけだろ？
プロプライエタリな俺らには関係ないよ

>>31
そんなものはとっくの昔に無いと思う。

>>37
こないだの IE のセキュリティホール騒ぎに比べたら断然説明しやすいわな。

701 ：名無しさん＠お腹いっぱい。：2014/06/30(月) 22:57:35.98 ID:AXin1lzd
>>692
>返答不能な要求に正しい応答なんてないしましてやメモリ漏らして良いなんて仕様は存在しない。

良いも悪いも、そもそもサーバ側のバグを悪用してクライアント側の
メモリを読まれるような状況は想定されていないし想定するのはおかしい
本来なら接続が維持できずメモリを読み出せずに終わるんだからね
サーバ側のバグを悪用してクライアント側のメモリが盗まれることを想定し
あらかじめクライアント側でそれに備えるということは、サーバ側のバグを
認知して放置していることに他ならず話として矛盾している

>広告の画像URLを攻撃用に取得したドメイン+証明書+攻撃用擬似TLSサーバにしておけば、
>OpenSSLを使って接続してくるWebブラウザに正しい証明書の組み合わせで攻撃を行う事が可能になる。

サーバ側のバグがなければ不可能
しかもWebブラウザとSimejiは関係ない

>実際にそれが理由でクライアントとしてOpenSSLを使うソフトウェアもアップデートを行った。

サーバ側にバグがあったからだろｗ
上に挙げた例で言えば、メールサーバがフィルタするはずの
ウイルスを送ってくるバグがあったから
メールソフト側で弾かざるを得なくなったようなもんで
それまで実装されていなかったのは別にクライアント側のバグではない

>>79
それは君の能力が足りないだけでは。

1.0.1なんて新しいバージョン使ってないし

XPとだけ比べて欲しいから。
XPとなら勝てる（それ以降では負ける）と
思っているから。

OpenSSLに限らずOpenBSDは遅くても良いから脆弱性を起こさない事を目標にしています。
http://slashdot.jp/story/05/08/25/0917258/OpenBSD%E3%80%81malloc3-%E3%… [slashdot.jp]
投稿からリンクされていますが、このmallocの変更は死ぬ程遅くなるはずです。
しかし、それでもOpenBSDは採用します。

もちろん、速度が欲しい場合もあると思いますが、
必要に応じて選べるのが良いと思います。

速度が必要ならオリジナルのOpenSSLを、SSLで通信しているのを覗かれたくない人はOpenOpenSSLを、と選べるようになってくれた方が嬉しいです。
あなたが覗かれても良いならどうぞOpenSSLを使ってください。
私は覗かれて欲しくないので、良いCPUのマシンとOpenOpenSSLを使います。

アプリケーションサーバのSSL実装独自でやってるところあるんだ

Open XMLフォーマットを使わなければよい

>>5
普通RSAから買うだろ。

Open-GLはいずこへ。

HeartBleedが意図した動作しちゃダメだろ

誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒　『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

JQ1HXG0THC

お前ら、ドッグフードにソースかけて食うのか？