スキップしてメイン コンテンツに移動

SSL 3.0に深刻な脆弱性「POODLE」見つかる・・・SSL3.0の脆弱性の対策

POODLE(Padding Oracle On Downgraded Legacy Encryption)という名前だそうで。

 SSL3.0を有効にしているサイトとの通信において、クッキー情報が漏洩する可能性があるようです。
銀行系サイトが結構使っているようですね。
でも、実際のところ実害は出ないと思いますけどね。


クライアント側の対応
Internet Explorerの場合
「ツール」→「インターネット オプション」→「詳細設定」
の中の「SSL 2.0を使用する」「SSL 3.0を使用する」のチェックを外す。

Google Chromeの場合
最新に更新
Googleが見つけたようです。

Firefoxの場合
version34で対応するようなこと言ってて出るのは11月25日とかって遅くないかい?
で、対応策は、アドオンなので以下のリンクからインストール。

SSL version control

mozilaの資料
The POODLE Attack and the End of SSL 3.0 | Mozilla Security Blog

MacOS Safariは設定にあったかな?

 Javaもやっとかないと
「コントロールパネル」→「Java」→「詳細」
SSL 3.0を使用するのチェックを外す
TLS1.0、1.1、1.2を使用するにチェックする。
そもそもJavaはオフだなw

 チェックサイト
Qualys SSL Labs - Projects / SSL Client Test
以下のチェックサイトだとGoogle Chromeでやると脆弱(vulnerable)って出るけどチェックが対応してないだけのようです。上のやつもそうですね。
(追記:現在は対応してるようです。あれ?対応してないですなw)
SSLv3 Poodle Attack Check
Chromeでチェックする場合、楽天とかアマゾンにアクセスすればわかります。

サーバ側
Apacheの場合の無効設定
/etc/httpd/conf.d/ssl.conf
SSLProtocol all -SSLv2 -SSLv3

サイトがSSL3.0が有効か無効かの確認

# openssl s_client -ssl3 -connect www.example.com:443
SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 40 
SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:
.....
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1413427983
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

なようなものがずらずらと出る。
一番上の2行が出てればOK

チェックサイト
Qualys SSL Labs - Projects / SSL Server Test
Java - SSL 3.0を受け付けているかを確認するツール作ったのでドヤ顔で公開する。 - Qiita



コメント

コメントを投稿

このブログの人気の投稿

DNSampにやられたようだ

以前からときどきルータのCPU使用率が98%の状態で高負荷が続くことがあった。 アクセス数が多い為とも思っていたのだが今までルータが悲鳴をあげることはなかった。 問題の切り分けが難しく、何が原因なのかわからなかったが原因をつきとめることができた。 DNSのDDoS攻撃だったようだ。いわゆるDNSampというやつで数年前から猛威をふるっているやつです。 しかし、DNSampは、オープンリゾルバなDNSに対して小さなDNS要求パケットを送ってその何倍ものサイズのパケットを生成させるからDNSamp(アンプつまり増幅)といわれるわけなのだが、DNSサーバがオープンリゾルバになっていなければ大丈夫だと思っていたし、さらにファイヤーウォールでフィルタかけたり制限したりとやっておいたにもかかわらずだったのだが、実はそれだけではすまないということだった。 ログみてもRefusedしているのにぃ・・・ 使用しているルータはRTX1200でヤマハのサイトに オープンリゾルバー(Open Resolver)に対する注意喚起について のページがあったので対策することにした。 これは、ルータ自体がDNSの機能を持っている場合の対処だったのでオフにした。 いろいろ調べてるうちに QoSをかけるとか出てくるのでやってはみた。帯域制限とかであるが。 しかし、変わらない。というか効いてない。 ヤマハのルータの場合、Dynamic Class Controlというのがあってそれを使えみたいなことがよく出てくる。 そこでそれも設定してみた。だが、効かない。 根本的なところで間違っているような気がしたのだ。 設定したのは、LAN2(WAN)側だったのだが、それをLAN1(LAN)側にかけたらうまくいった。 普通に考えてppに対してDCCかけるんじゃないのかと思ったのだがどうもこのファームウェアでは、サポートされていないらしい。つまり、入り口のところで制限することはできないということらしい。 でも、これはこれで一度中に入ったものを処理するわけだからそれなりに負荷がかかるような気もするのだけど、とりあえず20%から30%くらいで落ち着いている。 最近だとRTX1210という機種が出ている、これはCPUがPowerPCになっていてRTX1200のMIPS 300M
コメントを投稿
続きを読む

SABLE エックリアの影【ゲーム日記】

SABLEというオープンワールドのアドベンチャーゲームで2021年9月にSteamでリリースされてから最近日本語対応されたのでやっています。 その中で初期のクエストに「エックリアの影」というのがあったのですがなかなかクリアできなかったところ終盤で再度挑戦したら解決したのでその部分だけ解説したいと思います。 つまりネタバレですのでご注意ください。 本当は最初からVLOGにしたかったのですが途中から録画したので部分的に公開したいと思います。 公式サイト SABLE — SHEDWORKS クエストは、マズという男が世話をしている子供の一人が水を盗もうとして捕まって収監されているのを助けるのが目的。助けるには「影のマスク」を被って牢獄前にいる衛兵を脅して牢から出す。「影のマスク」は町の門にある「影のしるし」を探せばたどり着けるのだが探せとしか言われておらずその後どうするのかを説く必要がある。 門には2種類の印があり一つはマスクの場所、一つはマスク自体の印でマスクが見つかった後に繋がるものである。 まずは、門の側面にしるされたものがその先にも同じものがあるのでたどっていく。すると壺があるのでその中にマスクが入っている。 手に入れたらマズのところに行き、夜になるのを待ってマスクを付けてマズに再度話しかけるとイベント発生して助けにいく。助けた後は再度マズのところにいくのだが牢の近くの町の壁に門にしるされたもう一つのしるしと同じものがあるのでそこに行くとバイクのパーツが買える。ただし、夜でないとそれは出てこないようである。
コメントを投稿
続きを読む

VAIO PCG-Z1/P HDD換装記録

作業手順と注意点 フレキシブルケーブルが4箇所あるのでその点だけ要注意です。 裏面に付いてるネジを全部外す。(シールで隠しているネジ3箇所も) キーボードを外して(フレキシブルケーブルも) パームレストを外す。 ハードディスク外す。 ハードディスクを取り替える。 元に戻す (ハードディスクのコネクタを外すときは要注意。) 後は逆の手順で交換で戻します。 1.裏面のネジを全部外す 赤く丸した3箇所にシールが貼ってあるのでそれを剥がしてネジを外す。 後でそのシールは貼りなおすので取って置く。 ネジは、それぞれ長さなど違うので元に戻せるようにしておく。 外し終わったら表にする。 2.キーボードを外す 手前(マウスパッド側)に引っかかりがあるので、手前に少しずらしながら液晶側を上げる。 フレキシブルケーブルがつながっているので注意して外す。 ケーブルを外してキーボードを完全に取り外す。 ケーブルは、画像丸1の茶色のプラスチックを起こすと抜ける。コネクタは弱いので無理な力をいれると破損するので注意が必要。 2、3の矢印のケーブルも外す(液晶につながっているケーブル) キーボードのコネクタの部分を拡大したもの。 3.パームレストを外す 矢印部分のネジを外す。 ネジを外すとパームレストを浮かせることができるが左側の根元でひっかかり外れない。 USB、イヤホン、iLink端子などがあるパネルが端子に引っかかっていて外れない。 画像の矢印部分で引っかかって留まっているので押して外す。 するとパームレストが外れる。 4.ハードディスクを取り替える HDDの3箇所のネジを外す。一箇所、黒い絶縁シールが貼ってあるので剥がして外す。 HDDのコネクタを外すときは慎重に。 HDDマウントを外して換えのHDDを同じように付けて元に戻す。 ネジ、ケーブル類を元に戻して、外す手順の逆を行い元に戻して終わり。 その他 WiFiカードの換装 グレイと黒のアンテナを上にひっぱり外す。 両脇のくぼみで留まっているのでそれを外しながら上に起こす。 取り替えて元に戻す。
コメントを投稿
続きを読む