« Apacheの脆弱性Windows XP -> Vista アップグレード »

SSL Hell

この記事をクリップ! Buzzurlにブックマーク Yahoo!ブックマークに登録 このエントリーをはてなブックマークに追加

リンク: http://www.hackaday.com/2006/10/30/dan-kaminskys-ssl-hell/

10月30日作成のページですが今みました。

http://www.hackaday.com/2006/10/30/dan-kaminskys-ssl-hell/

結構笑えます。(英語のプレゼンテーションビデオです)
これではどのサイトも信用できないです。

追記:
ビデオの見なくても良いように一番重要な点だけ書きます。

SSLの公開鍵・秘密鍵がデフォルトのまま使っているサイトが多くある、というくだりです。銀行などのサイトでも「ありえない」と思える割合のサイトがデフォルトのキーペアを使っていて暗号化の意味がなくなっている!!!のだそうです。(詳しくはビデオを参照)

キーはサイト毎に生成するになぜこんな事が起きる?と思われる方もいるかもしれません。ハードウェア系のSSLソリューションには静的に生成されたデフォルトのキーペアが設定されている場合があるのですが、なんとそのキーを使っているサイトが多数存在する、とこのプレゼンで言っています...

笑うに笑えないですが、不謹慎にも笑ってしまいました。

教訓 ‐ デフォルトパスワードだけでなくデフォルトの鍵も使わない!
(当たり前すぎです...)

このエントリがポストされているのは 2月 13th, 2007 18:04:03 and is filed under Security 永続的リンク永続的リンク

フィードバックはまだありません...

コメントを残す


Your email address will not be revealed on this site.

頂いたURLは表示されます。
PoorExcellent
(改行が自動で <br /> になります)
(Name, email & website)
(ユーザに、メッセージ・フォームを通じた連絡を許可します (あなたのメール・アドレスは表示されません))