本家でも先日ストーリーが立ったが、OpenSSL 1.0.0がリリースされた。 アナウンスによると、0.9.8nからの差分には 既定の鍵対の形式がPKCS#8に変更 RFC4507サポートecdsa-with-SHA224/256/384/512のサポート カメリア暗号が既定で有効に変更 MD2が既定で無効に変更 などを含んでいるようだ (多過ぎて、とても全部は書けない)。 「そのままではApache-SSLのコンパイルが通らない」、「Apache mod_sslのコンパイルを通すにはコツがいる」など、ツッコミたい点もいろいろあるのだが、初のβ版からほぼ1年、プロジェクト開始からほぼ11年かけた開発者たちに、まずは感謝とねぎらいの言葉を捧げたい。
研究者がSSLの中間者攻撃の脆弱性を悪用し、他人のTwitterパスワードを入手することに成功したと発表した。 SANS Internet Storm Centerや米IBM傘下のセキュリティ企業Internet Security Systems(ISS)のブログによると、TLS/SSLプロトコルに中間者攻撃の脆弱性が見つかった問題で、研究者がこの脆弱性を悪用してTwitterのログイン情報を盗み出すことに成功したと発表した。 脆弱性はTLS/SSLのリネゴシエーションの過程に存在し、理論的には中間者攻撃によってHTTPSセッションにデータを挿入することが可能になるとされていたが、当初の情報では実際に悪用するのは難しいと見られていた。 しかしISSなどによれば、研究者はこの脆弱性を突いて被害者がTwitterサーバに送ったHTTPパケットにアクセスし、パスワードなどのログイン情報を取得する
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
