【ネット】ネット史上最大級のバグを発見〜パスワードもクレカ番号も全部筒抜け−OpenSSLの脆弱性
202 :名無しさん@13周年@転載禁止:2014/04/14(月) 00:57:16.45 ID:JGYTpHn20
203 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:01:57.64 ID:dbw246Vx0
>>202
これでカード番号変わったやつなんていないからw
これでカード番号変わったやつなんていないからw
204 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:09:23.71 ID:27HWbp6B0
公表されてからの対応が問題だな
誰でもが穴知ってるわけだから
>>198
オープンソースを信用したクレカ会社にも責任あるとは思わないか?
ていうか、オープンソースじゃなかったら
もっと長期間、穴空いたままだったかもしれない
有料のクローズドは穴空いてるなんて公表しないかもしれない
誰でもが穴知ってるわけだから
>>198
オープンソースを信用したクレカ会社にも責任あるとは思わないか?
ていうか、オープンソースじゃなかったら
もっと長期間、穴空いたままだったかもしれない
有料のクローズドは穴空いてるなんて公表しないかもしれない
205 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:09:35.64 ID:XYbj49EN0
206 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:16:55.99 ID:VrKyTv2vO
paypalとか大丈夫なんだろか?
個人輸入とかやったりしてる連中で、あそこの世話になってる人けっこう居るだろ。
個人輸入とかやったりしてる連中で、あそこの世話になってる人けっこう居るだろ。
207 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:20:37.85 ID:27HWbp6B0
208 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:23:53.04 ID:cyvdLG8z0
209 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:30:18.99 ID:JGYTpHn20
>>203
毎月不正使用されてないかビクビクしながら暮らすことになるじゃん。
そういうのがスリリング〜とかで好きなのかな
>>205
そんな何枚も持って個人情報を方方にばら撒いて、紐付けさせて、嬉しいの?
毎月不正使用されてないかビクビクしながら暮らすことになるじゃん。
そういうのがスリリング〜とかで好きなのかな
>>205
そんな何枚も持って個人情報を方方にばら撒いて、紐付けさせて、嬉しいの?
210 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:30:33.79 ID:lmpY0u9N0
実は二段構えで、こっちでパスワードの変更を促し
もう一つの明らかにされていない穴で、変更後のパスワードを
取得するトラップだったりな
もう一つの明らかにされていない穴で、変更後のパスワードを
取得するトラップだったりな
211 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:41:57.37 ID:sAiUCOGe0
212 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:43:08.89 ID:U1q7tesw0
213 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:44:43.14 ID:JGYTpHn20
214 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:45:40.93 ID:zYMmvRlc0
弊社のサイトは全てF判定でしたwww
215 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:47:37.38 ID:Px2dqOrxO
マイクロソフト談
だから、とにかく、何しろXPは危ないんですよ(キリッ)
だから、とにかく、何しろXPは危ないんですよ(キリッ)
216 :名無しさん@13周年@転載禁止:2014/04/14(月) 01:51:16.44 ID:dRq9geUe0
まあ、IT技術者をドカタとかで奴隷扱いしてた報いかもな
高額報酬すら出さずに、ドヤ街連中みたいな扱いしてるからよ
高額報酬すら出さずに、ドヤ街連中みたいな扱いしてるからよ
217 :名無しさん@13周年@転載禁止:2014/04/14(月) 02:04:41.08 ID:dbw246Vx0
>>209
万が一の時にはカードの保険があるんだよ。
万が一の時にはカードの保険があるんだよ。
218 :名無しさん@13周年@転載禁止:2014/04/14(月) 02:12:11.29 ID:dbw246Vx0
>>209
2流カードだと再発行に時間がかかるがAMEXだと翌日には旅行先であっても手元に届けてくれる。
もちろん従来のカード番号もそのまま使える。
オープンソースを全く使わずにショッピングカートシステム構築とか無理。
それくらいよくだきてる。
ちょっと流用する程度でも2千万円くらい開発費がかかる。
2流カードだと再発行に時間がかかるがAMEXだと翌日には旅行先であっても手元に届けてくれる。
もちろん従来のカード番号もそのまま使える。
オープンソースを全く使わずにショッピングカートシステム構築とか無理。
それくらいよくだきてる。
ちょっと流用する程度でも2千万円くらい開発費がかかる。
219 :名無しさん@13周年@転載禁止:2014/04/14(月) 02:13:01.74 ID:aYYPQNnS0
オプソ厨によると目玉の数さえあれば云々の理論でこんなバグでるはずないのだが・・・
220 :名無しさん@13周年@転載禁止:2014/04/14(月) 02:24:40.64 ID:Xvk+PVfQ0
クレカの心配ばかりされてるけどパス漏れのが深刻なんじゃ
221 :名無しさん@13周年@転載禁止:2014/04/14(月) 03:14:25.29 ID:pOKQxf/70
222 :名無しさん@13周年@転載禁止:2014/04/14(月) 04:36:29.10 ID:4FUeuiXx0
Googleとかは、発表前にコソッと対応w
223 :名無しさん@13周年@転載禁止:2014/04/14(月) 08:20:08.75 ID:lIuHKgpn0
224 :名無しさん@13周年@転載禁止:2014/04/14(月) 09:18:53.59 ID:kWUMRhdu0
通販サイトも早くセキュリティ対応してほしい
225 :名無しさん@13周年@転載禁止:2014/04/14(月) 09:25:26.62 ID:+HlKsLaK0
今回の致命的なバグが2年前から、
XPのセキュリティーホールは10年前から未だにせっせと穴埋め。
今更心配するなってw
XPのセキュリティーホールは10年前から未だにせっせと穴埋め。
今更心配するなってw
226 :名無しさん@13周年@転載禁止:2014/04/14(月) 10:30:07.15 ID:5P/+sgT30
OpenSSLでSSL通信するソフトを利用していた場合は、
そのOpenSSLがheartbeatの脆弱性のあるバージョンだったら、
暗号化された通信の内容が誰にも気づかれない内に漏れてしまうな。
そのOpenSSLがheartbeatの脆弱性のあるバージョンだったら、
暗号化された通信の内容が誰にも気づかれない内に漏れてしまうな。
227 :名無しさん@13周年@転載禁止:2014/04/14(月) 12:36:30.61 ID:I1Irjk030
この脆弱性は暗号化の脆弱性じゃないから、いくつか手順を踏まないと
暗号化された通信が見られる状態にはならない。
不正なHeartbeatsパケットを送るとサーバーが適当なメモリ領域を
送り返してくる。
その中に暗号化の秘密鍵が含まれているかもしれないし、いないかもしれない。
何度も何度も繰り返してるうちに当たりを引いたら、その秘密鍵を使用して
暗号の復号ができるっていう脆弱性。
暗号化された通信が見られる状態にはならない。
不正なHeartbeatsパケットを送るとサーバーが適当なメモリ領域を
送り返してくる。
その中に暗号化の秘密鍵が含まれているかもしれないし、いないかもしれない。
何度も何度も繰り返してるうちに当たりを引いたら、その秘密鍵を使用して
暗号の復号ができるっていう脆弱性。
228 :名無しさん@13周年@転載禁止:2014/04/14(月) 14:01:24.91 ID:DT8MhbD80
>>222
Googleが脆弱性を見つけたのだから当然だと思われ
Googleが脆弱性を見つけたのだから当然だと思われ
229 :名無しさん@13周年@転載禁止:2014/04/14(月) 14:05:29.65 ID:DT8MhbD80
>>196
「Heartbleed」脆弱性、アップルのOSやウェブサイトは安全--米CNETが回答入手 - CNET Japan
japan.cnet.com/#story,35046433
今回のは問題ない
「Heartbleed」脆弱性、アップルのOSやウェブサイトは安全--米CNETが回答入手 - CNET Japan
japan.cnet.com/#story,35046433
今回のは問題ない
230 :名無しさん@13周年@転載禁止:2014/04/14(月) 15:05:08.14 ID:zK7o6wQL0
>>229
安全安全と言いながら、電話帳読み取りの権限も放置し続けたアップルさんに言われても
安全安全と言いながら、電話帳読み取りの権限も放置し続けたアップルさんに言われても
231 :名無しさん@13周年@転載禁止:2014/04/14(月) 15:23:05.46 ID:jYm6piZWi
>>229
goto fail; なアップルさんに言われても
goto fail; なアップルさんに言われても
232 :名無しさん@13周年@転載禁止:2014/04/14(月) 15:23:07.56 ID:Oqk/Zf8m0
証明書再発行してインスコした
無料で良かった
無料で良かった
233 :名無しさん@13周年@転載禁止:2014/04/14(月) 15:45:05.13 ID:yVof0FEv0
234 :名無しさん@13周年@転載禁止:2014/04/14(月) 16:37:47.14 ID:hH8pJ6bT0
どうか、お願いです、なにとぞ、私の切実なる要望を、お聞き下さいませ。
アマゾン様。どうか、私の購入履歴を、一旦抹消仕りますよう、なにとぞ平にご容赦のほど。
よろしくお願い申し上げます。
アマゾン様。どうか、私の購入履歴を、一旦抹消仕りますよう、なにとぞ平にご容赦のほど。
よろしくお願い申し上げます。
235 :名無しさん@13周年@転載禁止:2014/04/14(月) 22:16:18.02 ID:DT8MhbD80
>>231
Heartbleed.comに行ってみろよ。gotoよりもヤバイから
Heartbleed.comに行ってみろよ。gotoよりもヤバイから
236 :名無しさん@13周年@転載禁止:2014/04/14(月) 22:28:57.06 ID:jhaPAIaY0
237 :名無しさん@13周年@転載禁止:2014/04/14(月) 22:30:11.92 ID:WAKy0s640
Googleアカウントのパス変更って必要?
ざっと見たところ、必要と不要と分かれててはっきりしない。
ざっと見たところ、必要と不要と分かれててはっきりしない。
238 :名無しさん@13周年@転載禁止:2014/04/14(月) 22:51:42.99 ID:nYVnB+N20
GoogleもヤフーもFacebookもTwitterも変えておけとLastPassに言われたから変えた。
あとTumblurからもパス変えろってメール来て、Tumblurだけじゃなくて他のサイトも
変えておきなさいとか余計なお世話くらった
あとTumblurからもパス変えろってメール来て、Tumblurだけじゃなくて他のサイトも
変えておきなさいとか余計なお世話くらった
239 :名無しさん@13周年@転載禁止:2014/04/14(月) 22:52:54.63 ID:sqqBbO/10
2段階認証してるなら大丈夫だろ
たぶん・・・
たぶん・・・
240 :名無しさん@13周年@転載禁止:2014/04/14(月) 22:58:30.55 ID:ppm+OvkQ0
まあ、普通に電話回線を通してあるんだから、その経路の途中で送信データはインターセプトされているんだな。
どんなに衣を厚くしても払えば豚肉が出てくるのと同じだ。
どんなに衣を厚くしても払えば豚肉が出てくるのと同じだ。
241 :名無しさん@13周年@転載禁止:2014/04/14(月) 23:05:40.05 ID:sAiUCOGe0
242 :名無しさん@13周年@転載禁止:2014/04/14(月) 23:28:30.07 ID:DT8MhbD80
>>241
いいから黙ってHeartbleed.comをGoogle翻訳にかけてみろ
いいから黙ってHeartbleed.comをGoogle翻訳にかけてみろ
243 :名無しさん@13周年@転載禁止:2014/04/15(火) 00:15:04.42 ID:Nvf6lFl40
244 :名無しさん@13周年@転載禁止:2014/04/15(火) 00:19:18.78 ID:aeVhCEVo0
2chでクレカ漏れたのより少しヤバい
245 :名無しさん@13周年@転載禁止:2014/04/15(火) 00:27:58.12 ID:xk8t9xwv0
>>242
Heartbleedの穴が開いてるサイトは少数派な上にそんなサイトでも機密情報パスワードが
盗めるとは限らないが、Apple gotoで中間者攻撃すればどんなサイトでも確実に盗むことが可能になる。
Heartbleedの穴が開いてるサイトは少数派な上にそんなサイトでも機密情報パスワードが
盗めるとは限らないが、Apple gotoで中間者攻撃すればどんなサイトでも確実に盗むことが可能になる。
246 :名無しさん@13周年@転載禁止:2014/04/15(火) 00:56:15.89 ID:TkZp8TFi0
せっかくなんでgoogle翻訳にかけてみたが、相変わらず意味不明な「訳」が
出てくるね。頭の中で一度原文に戻した上で解釈するという無駄な作業を
するくらいなら、普通に原文を読んだ方がまだ楽だ。
「ここの原文はきっとこうなんだろうから、こういうことが書いてあるんだろう」
という謎解きをやるのも、ネタとしては悪くないこともあるけどね。
出てくるね。頭の中で一度原文に戻した上で解釈するという無駄な作業を
するくらいなら、普通に原文を読んだ方がまだ楽だ。
「ここの原文はきっとこうなんだろうから、こういうことが書いてあるんだろう」
という謎解きをやるのも、ネタとしては悪くないこともあるけどね。
247 :名無しさん@13周年@転載禁止:2014/04/15(火) 01:11:32.73 ID:BTC37N/20
Yahooにログインまだしないほうがええのんかいな。
248 :名無しさん@13周年@転載禁止:2014/04/15(火) 01:25:05.59 ID:xooO5RDS0
>>245
OpenSSLが少数派とか冗談きつい
gotoはiOSは即アプデ、OS Xも数日後にアプデかつ中間者攻撃 ゼロデイ攻撃の報告も特にないんだが
Heartbleedは大半のLinuxなどは数日後でアプデしたもののAndroid4.1やHeratbeatを使ってるアプリはどうすんだ?
クライアントは中間者攻撃やフィッシングに気をつければいいがサーバーはユーザー側で対処しようがない。しかも日本のWebサービスは完全沈黙で対応状況も不明
脅威の度合いが違う
OpenSSLが少数派とか冗談きつい
gotoはiOSは即アプデ、OS Xも数日後にアプデかつ中間者攻撃 ゼロデイ攻撃の報告も特にないんだが
Heartbleedは大半のLinuxなどは数日後でアプデしたもののAndroid4.1やHeratbeatを使ってるアプリはどうすんだ?
クライアントは中間者攻撃やフィッシングに気をつければいいがサーバーはユーザー側で対処しようがない。しかも日本のWebサービスは完全沈黙で対応状況も不明
脅威の度合いが違う
249 :名無しさん@13周年@転載禁止:2014/04/15(火) 01:44:51.22 ID:xk8t9xwv0
>>248
OpenSSLの特定バージョンな
ttp://www.cnet.com/how-to/which-sites-have-patched-the-heartbleed-bug/
10分の1も無い様に見えるな
そしてHeartbleedを悪用した被害報告も特に無いんだが
一方、Apple gotoは半年ほど放置されてたが、携帯会社の中やプロバイダの中で中間者攻撃を
されていなかったとなぜ言えるんだ?
OpenSSLの特定バージョンな
ttp://www.cnet.com/how-to/which-sites-have-patched-the-heartbleed-bug/
10分の1も無い様に見えるな
そしてHeartbleedを悪用した被害報告も特に無いんだが
一方、Apple gotoは半年ほど放置されてたが、携帯会社の中やプロバイダの中で中間者攻撃を
されていなかったとなぜ言えるんだ?
250 :名無しさん@13周年@転載禁止:2014/04/15(火) 02:21:44.81 ID:xooO5RDS0
クレカはネットで使わない
当たり前だよ
当たり前だよ