さよならOpenSSL

dist-upgradeに失敗して未だにsqueezeのままの俺に死角はなかった

どこがやっても基本的には筒抜けですが
商用LANと切り離したネットワークをつくらないかぎり

10年間放置ｗ
やっぱメンテナが少ないオプソは糞だわ

GnuTLSをベースにしたGNUsshキボン。割とマジで。

下がったラインが崩せないのは日本のウィークポイントだなぁ

>>17
ほんとそれだからタチがわるいｗ

>>47
筒抜けだから困る、とか書いてないじゃん。
どうしてそれで、文句を言ってるとか言い出すんだろう。
やっぱ自意識過剰だよ。

ちなみに俺が見たソースは
debian jessieにあった1.0.1g-2

よし、ソースは見れるんだ。

まずは「現状は筒抜けかどうかわからない」という
状態からスタートしよう。

筒抜けであることがわかれば、
「筒抜け状態」に遷移だ。その状態になれば筒抜けと言って良い。
その状態になければ、筒抜けと言っては駄目だ。

さあ「筒抜け状態」に状態遷移させることはできるかな？

またきたどー
http://ccsinjection.lepidum.co.jp/ja.html

Debin 7.4で
$ sudo apt-get update
$ sudo apt-get upgrade openssl
してもアップグレード:0個で
$ openssl version
すると
OpenSSL 1.01e 11 Feb 2013
のままなのよ。

どうすれば対策版になるの？

× ソースコードを皆が見てる
○ ソースコードを皆が見ることは出来るけど見ているとは限らない

まさに放置だと思うけど？

支障や動機が無ければ見ないし触らないってのはどこでも普通のことで
地道な検証を善意のボランティア()頼みってのは無理筋

>>44
文句を言っているからでは？

つまり、無知なあんたには、
文句をいう資格はないって馬鹿にされてるのさ。

>>24
20万行削除w

>>6
testing版だと既にインストール可能だったぞ。

疑問があっても調べもせずドヤ顔でテキトーぶっこく連中ですか

>>28
「古い端末」じゃどの機種の話かわからんからなぁ。
どの機種なん?

>>41
ソース読んで具体的に指摘してやれ。

いや、筒抜けじゃないでしょって所が
重要な点なんだが？

結局Windows Serverが安全てことだな

オープンソースがいかに危険か見せつけたな

冗談がお得意ですね

opensslの脆弱性が最近記事になってるやん

これ変な気がするんだよなぁ
メモリーをコピられてもさ、それってユーザー空間なわけじゃないのさ？
んで、ふつうさ、コネクション毎に別のプロセス立ち上げるだろ？
つまりね、別のユーザー空間にアクセスできるわけねえんだから
そもそもメモリーをコピーしたところでなんか見れるの？
ふつうcallocすりゃメモリは０で初期化されるだろ？
他のプロセスが使ってたメモリの内容がスタック領域とかに残ってるのか？

陰謀論なら、フリーソフトではなく商用ソフトを使わせたいとかいうことかもね
でも、スノーデンが正しいならむしろそっちのほうこそ仕込まれてる可能性があるわけで・・・・

というか、仮に１つのプロセスがすべてに対応する作りだと
そもそもそれ自体がセキュアーなアーキテクチャになってないという
ほんまにそういうつくりなのか？

>>27
そうやって自分の数少ない知っている範疇で調子に乗るって
バカ丸出しでみっともない（笑）

OpenSSLのソース覗いたけど、
あれちょっとひどいな。
別に悪いとは思わないけどガッツリ系で一文字変数を使っているのは初めて見た。
どういう意味の変数だとか間違えないのがすごい。
安全なアドレス演算とかできるように色々工夫しろよと。

何かあったら真っ先に自分たちが被害者面するノーガード戦法ｗ

>>54
すみません、日本語でお願いします。

ID:yArm+k+lがバカ丸出しでみっともない件ｗ

>>25
http://www.lysator.liu.se/‾nisse/lsh/
lshが既にある。もっとも、あらかじめなんらかの別経路で
sshd host keyの情報をクライアント側が持ってないとつながりもしない
ので使うのは大変。

>>49が筒抜けじゃない証拠を出せばいいんじゃね？

>>49が筒抜けじゃない証拠を出せばいいんじゃね？

誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒　『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

P19VVKK7H4

悪魔の証明か。

>>26
4.1.2 で Heartbeat が無効化されたのは2012年で、
今回の件とは別の問題に対処するためだよ。
https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

> わざわざ１コ上げて4.1.2になるとかｗ
「わざわざ」ってのはよくわかんないな。
そんなにおかしい?

LibreSSL…ネーミングがofficeと一緒やん…。

【IT】OpenSSL欠陥、三菱UFJニコス894人個人情報流出か　被害判明は国内初 [4/19]
http://ai.2ch.net/test/read.cgi/newsplus/1397874984/

欠陥発覚後に即対策してないからこうなる
結局使う奴が間抜けだと何をやってもダメってこと

Google Is Maintaining A “BoringSSL” Fork Of OpenSSL
http://www.phoronix.com/scan.php?page=news_item&px=MTcyNjM

僕の知り合いの知り合いができた副業情報ドットコム
関心がある人だけ見てください。
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

A3F8A

>>45
>>41をどう読めば文句を言ってるように見えるんだろう。
自意識過剰すぎなのでは？そんなんじゃ社会じゃやっていけないよ？

Q：Android版のクライアントは影響を受けますか？

A：Android 4.1ではOpenSSL 1.0.1が使用されていますが、
　　4.1.2以降ではheartbeatが無効化されています。　　
　　したがって、この脆弱性の影響を受けるのはAndroid 4.1(.0) と 4.1.1です。

ちょっと前にけっこう古い端末もアップデートきてたよね
わざわざ１コ上げて4.1.2になるとかｗ
ほとんどどこでも対処済みになってからニュースにしたとか疑っちゃうｗ
そんな中でノウノウと流出させたUFJニコスはバカというかマヌケというか阿呆としか言いようがないな

>>16
本当のアホは気づいてすらいないから
ちゃんと調べて公表できるだけ優秀

> デフォでgoogle に通信内容筒抜けなんだろ？ｗ

これ。 根拠が無いのに、筒抜けって言っている所。

筒抜けかどうかはソースを読めばわかることで、
調べればわかることを、調べもしないで
文句をいうなってこと。

わかんないようにしてますが、なにか

>>2
>>3 いや、正解でしょ

>>2
は？（威圧）

OpenSSLは非常に公平性がある。
従って社会正義を行うための有効なツールとなりえる。

多くの暗号関連ツールがNSAにのみ通信内容を開示する。
しかし、OpenSSLはオープンの原則に従い全ての人々に通信内容を開示する。
オープンソース支持者はまた、OpenSSLを支持している。
ソースコードの開示、通信内容の開示、どちらもオープンの原則に従っているからである。

ここで有名な言葉を引用して締めくくろう。
「情報は自由になりたがっている。」

放置とかいう個人的感想ありがとう

笑ってお仕事の方たちも同じ感じではないでしょうか、無理ってところは

本当にさよならOpenSSL。
君のクソなコードは永遠にクソでしたでってことで
幕を閉じるよ。

Heardbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ
http://www.gizmodo.jp/2014/04/heardbleedopensslopenbsd.html

VMSサポートの数千行。太古のWIN32サポートの数千行。今やWindowsもPOSIXっぽいAPIあるんだし、
ソケット用に特別に何か用意する必要ない。FIPSサポートの数千行…これがあるとほぼ自動的に
暗号化がダウングレードされちゃうからね。[…]　あとはOpenSSL開発グループが12年ぐらい
前に廃止するつもりで書いたAPIの数千行、これもまだ残ってた。
あと「Cコードも9万行削除した」と、ZDNetには語ってます。それでも機能には全く影響なくて、
ちゃんと正常に動いてるそうですから、それだけOpenSSLはひどかったということに…。

>>58
OpenSSLがこんなだからね。