やまろうブログ

プログラミングやゲーム開発、ニコ生、自己啓発、社会のことを書きます。

OpenSSLの脆弱性!

ニコ生しました。

UnityとPhotonCloudでマルチ対戦ゲームを作る!弾丸をネットワーク同期させる

http://live.nicovideo.jp/watch/lv181987050

1. 内容

OpenSSLの脆弱性

http://live.nicovideo.jp/watch/lv181987050

2. コメント

どうもどうもどうも

どうもどうも

こういうブログラミング放送夜もしたら人結構きそう

タマの種類もいろいろ選べたら面白そう

どうもどうもどうもどうも

そういやopen sslのぱっち当てた?

Macは関係あるの?

サーバー側の問題だね

クライアントの全バージョンに影響あるってあったよ

鯖は特定のバージョンだけど

それは、クライアントがサーバーに接続するからじゃないかな

つまりクライアント側のアップデートはいらないってこと?

確かに、今検索したけど微妙な書き方されてるね

前回の4月のやつよりやばいってきいたけど

いやそれじゃない

それは前のやつ

それ

そうだよw

どっぽうの研究所にいるんだけど、ほとんどがメンテにはいったよ

全く迷惑な話です

独立行政法人

普通の意味で解釈すれば、クライアントが影響を受けるってのはクライアントの通信も被害を受けるってことかな

そうだと思う

問題はクライアント側が何か対策をうたないとやばいのかどうかってこと

その理解であってるとしたら、SSLのサイトにアクセスしないっていう対策になりそう

それでAppleは沈黙してるんですけど  前回はヴァージョンてきに大丈夫っていってたんだけど

今日一日だけの我慢w

Googleはさすがに対応してくれてるだろうから、IT大手は大丈夫だと思う

googleはログアウトしてますw googleアカウントこそ盗まれるとつらいので

Googleが対応しててもクライアントが対応してないとまずい場合は 自分のPCのOSシステムのアプデをまたないと

ブラウザのアプデになるんじゃないかなーとも思う

なるほど ブラウザかもしれない

WinはOpenSSLみたいなオープンソースは使ってなさそう Macは使ってる可能性あるけど

多分Macはつかってるっぽいんだよねw

とりあえずパッチが公開されたlinuxつかってます

調べてみたらサーバー側が対応していれば、とりあえずただちに影響はでないみたい

あ、そうなんだよかった

ちないにソースは?

ちなみに

クライアント、サーバともに脆弱性がある場合がやばいらしい

http://www.atmarkit.co.jp/ait/articles/1406/06/news037.html

さんくす

http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Inject

あー、わかった

クライアント(ブラウザ)には、OpenSSLを使ってるのと使ってないのがあるっていう話だ

URL途中できれてます?

2個目の途中「2014-06-05/CCS-Injection/index.html」

みくいんざみどる

MITBは、プロバイダが悪いことをしようと思ったらできるっていうはなし

今夜の記事よみではこれの解説をしていただけるってことでいいんですよね?

プロバイダに限らずだけど、途中の経路でパケットをすり替える

かなり高度なやつだよね

パケットをすり替えて「モードをこのセキュリティを弱いのにしてよ」ってパケットを送ると弱い暗号化通信になるみたい

パブリックWi-Fiとかも

ハンドシェーク 通信が始まると一番初めに通信を行うこと

OpenSSLは実装が酷すぎると言われてますよね libcのライブラリ関数まで自前で実装してるとか・・?

ある意味すごい

一応短縮 http://bit.ly/1tNFsqF

linuxのコードとかも結構ひどいらしいよw

まぁ、それはWindowsもらしいけど

まあ基本無料なんで

オープンソースなんて使っちゃだめって上司がいうんです(違います

gcc使うの禁止されたらめんどいです

質どうこうよりも、ライセンス問題じゃない、どちらかというと

これすき

その上司は暗号化通信の本質を理解しているのかと子一時間問い詰めたい

「勝手に」使ってたら問題になることはあるね Apacheライセンスも完全に自由じゃないから

しろたんより小ベニちゃんがかわいかった

主人公

たぶん紅緒にいわされてるえいきょう

そういや、GPL問題でソース公開された有名ゲームのソース手に入れたけど まったく読んでないなw

GPLはやめてほしい、めんどくさいから

てかこのバグリリース時からあったのかよ  悪意がある人に早期発見されてたら被害やばそう

ユニティちゃんバズーカではまっすぐ飛んでなかったっけ?

2chにスレが立って 読んだ人の第一声が「リファクタリングだ!リファクタリングしよう!」だったのがワロタ

てか発見したの日本人らしいね

リファクタリングの前にUnitTest書いてやれよw

テストは通ってるんじゃないw 一応製品化されたものだから

一応っていうのも変か 結構な有名ゲーム

脆弱性を検証するテストが足りてなかったのでしょう

それにひきかえoepn sshはなんとなく信頼できる

なんでNSAが仕込ませた暗号ツールへのバックドアがあまり騒がれてないのかが不思議

あー、話混じってるかも リファクタリングGPLで公開されたゲームのほうね

そっちか

アメリカですもの

不都合な真実

個人的には不都合な真実を広める側でなく消す側にまわりたい

ベロシティ 速度

ペロシティ

ん?

物理で言えば ベロシティだけで玉が飛ぶよ

ここここ

ももくろだよ

FX放送なんてみてるのかよw

おつー

研究室の人がわりと安定してかてるやつつくってたよ

おつ