POODLE

POODLE SSL3.0の脆弱性への対応ということで、SSL v3プロトコルの無効化が急速に広まっていますね。SSLに不安を感じ、TLSへの移行を待ち望んていたセキュリティー技術者にとっては悪いニュースと良いニュースが同時に来た感じなんでしょうか?


わたしもネットワーク技術者としては新しい規格に移行することはありがたいです。


しかも、皆さんが自ら移行したいと積極的に行動してくれるのですから、ほんと、感謝したいくらいです。脆弱性見つけてくれてありがとう!!って感じですね。


でも、古いWebサーバーやSSLを利用した装置を利用していた管理者にとっては最悪のニュースです。
先週まで更改に向けて社内調整をしても「予算がない!!」って却下されていたのに、今週になった途端「なんでさっさと更改しなかったんだ!!」と怒られる立場ですよ。評価も下がる一方ですね。


世の中にはこのプロトコルやばいよね。次世代にさっさと移行しないと・・・ってのは多いと思います。認証を平文で行っていたり、パスワードは知らなくても、パスワードのハッシュ値で簡単に認証できてしまう認証システムとか・・・インターネット上で使われているプロトコルの大半はやばいですよ。数十年前に決まったプロトコルですよ。HTTP,SMTP,POP3,IMAP4,FTP,Telnet・・・


とりあえず、今年中にはTLSに未対応な端末は淘汰されますね。
でもSSLって言葉は無くなりそうな気がしません。TLSってまだ、浸透していない気がするんですよね。だからこれからもTLSのことをSSLって呼び続けると思います。


最後に、FTPって最悪ですよ。
認証も平文だし、データも暗号化していない。
さっさとFTPSに移行すればいいと思うよ。



POODLE


0 件のコメント:

コメントを投稿

Microsoft Entra Connect Cloud同期のお勧め属性マッピング

ハイブリッドID構成の設定で必須設定じゃないかな~というやつを備忘録的に投稿しておきます。個人的な推奨値なので実際に設定する際は十分な理解と検証を心掛けてください。そのまま利用して不具合が発生しても責任はとれません。 Microsoft Entra Connect によって同期さ...