• はてなブックマーク
  • テクノロジー
  • Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について
  • Twitterでシェア
  • Facebookでシェア

Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について

テクノロジー カテゴリーの変更を依頼 記事元:blog.kazuhooku.com
適切な情報に変更
285 usersがブックマーク コメント47

    記事へのコメント47

    • 注目コメント
    • 新着コメント
    iakio
    iakio DJBがWebアプリケーションを作ったらどんなアーキテクチャになるんだろうと妄想する。まずリクエスト毎に別のユーザーIDでchrootだろうが、DB周りは難しいな

    2014/04/11 リンク

    その他
    coppieee
    coppieee OpenSSLライブラリ内で、秘密鍵が必要な処理と、それ以外の処理を別々の権限で実行する処理にするのはあまりにも非現実的ではない?最小権限の原則といっても粒度が細かすぎると複雑になりすぎて逆にバグが発生しそう

    2014/04/11 リンク

    その他
    deep_one
    deep_one 本題に関係ないが、この脆弱性って「任意の位置のメモリ」なの?よくある「プロセスのメモリに隣接したメモリ」かと思っていたけど。

    2014/04/11 リンク

    その他
    circled
    circled 過去のパケットキャプチャをこの脆弱性が見つかるまで保存してた奴がいるんだろうか?という疑問が。

    2014/04/11 リンク

    その他
    ssids
    ssids リクエストごとに個別のLXCインスタンスを作るのはどうだろう。リクエストだけじゃなくて機能モジュールごとにも別インスタンス。

    2014/04/11 リンク

    その他
    rti7743
    rti7743 最小構成や権限分離したコードを作る方法が専念されておらず面倒だってことが問題で、もっと気軽にこれらの処理をかけるプログラム言語とかのサポートがあっていいと思う。constをつけるぐらいに気軽にできるといいな

    2014/04/11 リンク

    その他
    oppara
    oppara Kazuho's Weblog: Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について

    2014/04/16 リンク

    その他
    Kureduki_Maari
    Kureduki_Maari Kazuho's Weblog: Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について

    2014/04/16 リンク

    その他
    bobbyjam99
    bobbyjam99 Kazuho's Weblog: Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について :

    2014/04/16 リンク

    その他
    sonota88
    sonota88 最小権限の原則

    2014/04/16 リンク

    その他
    rryu
    rryu ユーザーごとにリソースを分離するとそれはそれでDoS攻撃の元になってしまうような気もする。

    2014/04/14 リンク

    その他
    Haaaa_N
    Haaaa_N ユーザごとにプロセス作ってたら,1万件問題に対処できないんだが…

    2014/04/13 リンク

    その他
    tyru
    tyru パスワードはハッシュ化して置いておきましょう見たいな、そもそも侵入されても大丈夫なようにしましょうって話に似てる

    2014/04/13 リンク

    その他
    takaesu
    takaesu 総括した感じのまとめ

    2014/04/13 リンク

    その他
    mikage014
    mikage014 高コストだけど安全なアーキテクチャが選択肢として存在するのはいいことだと思う

    2014/04/12 リンク

    その他
    nbsn
    nbsn 「安全性の根拠をプログラムにバグがない点に求めるという悪しき慣習が続いています。」

    2014/04/12 リンク

    その他
    labocho
    labocho 最小の権限限のみで動作すれば被害はないか少ないと / ログイン時に fork するアーキテクチャ見たことある

    2014/04/12 リンク

    その他
    tmatsuu
    tmatsuu ユーザ登録ごとにCREATE USER、友達になったらGRANT SELECT ON (友達のレコード)。というよりはビューの活用か。強力なACLを備えたデータストアか。あるかな。

    2014/04/12 リンク

    その他
    taguch1
    taguch1 セキュリティは各種メリットとトレードオフだから今の位置に収まったと考えてる。暗黙の総意による妥協点というべきか。

    2014/04/12 リンク

    その他
    tjtjtjofthedead
    tjtjtjofthedead ユーザー毎コンテナの世界?

    2014/04/12 リンク

    その他
    hobbiel55
    hobbiel55 是非、万単位のユーザが同時アクセスするシステムを、そのようなWebアプリケーションとして開発し公開してみて欲しい。

    2014/04/12 リンク

    その他
    tsupo
    tsupo 「最小権限の原則に基づいたセキュリティは有効に機能することが知られています」

    2014/04/12 リンク

    その他
    legoboku
    legoboku 「秘密鍵の漏洩にしても、秘密鍵を必要とする処理(TLSのハンドシェイク中の一部処理に限られます)と、TLS Heartbeatの処理を別個の権限の元で動作させていれば、発生しなかったと言えます」

    2014/04/12 リンク

    その他
    s_mori
    s_mori 最小権限の原則

    2014/04/12 リンク

    その他
    abracadabra321
    abracadabra321 RESTでしょ。

    2014/04/11 リンク

    その他
    KoshianX
    KoshianX ああまあそうだよなあ、そりゃそのユーザーが読み書きできるところだけ読み書きできりゃ SQL インジェクションとかあっても脆弱性にはならんけどさ。認証と権限が一元化できるといいんだけどね

    2014/04/11 リンク

    その他
    kyab
    kyab 任意位置のメモリじゃないよ。位置も内容も攻撃者はおろか、やられる側も予測不能。攻撃者はサイズだけ指定できる。最大64kbで何度でも。

    2014/04/11 リンク

    その他
    Dryad
    Dryad 「プロセスを使い回すのはよくない」とか言われても、Java使いとしては承服し難いんだが…(´・ω・`)

    2014/04/11 リンク

    その他
    asuka0801
    asuka0801 ユーザー毎にDB作ったりすんのかな。見るからにカオスになりそうだけど

    2014/04/11 リンク

    その他
    circled
    circled 過去のパケットキャプチャをこの脆弱性が見つかるまで保存してた奴がいるんだろうか?という疑問が。

    2014/04/11 リンク

    その他
    restartr
    restartr たしかにそうだよなーと。

    2014/04/11 リンク

    その他
    ukitazume
    ukitazume “リバースプロキシ、アプリケーションサーバ、データストア、そういったウェブアプリケーションの各要素について、最小権限の原則に基づいた、アプリケーションにバグがあっても脆弱にならないようなアーキテクチャ

    2014/04/11 リンク

    その他
    masabossa
    masabossa ちなみに秘密鍵漏洩についてはクライアント端末におけるICカードやUSBトークンのように耐タンパなハードウェア暗号処理装置のなかに秘密鍵を保持すればよい。秘密鍵は装置のなかで処理されメモリにロードされない。

    2014/04/11 リンク

    その他
    ssids
    ssids リクエストごとに個別のLXCインスタンスを作るのはどうだろう。リクエストだけじゃなくて機能モジュールごとにも別インスタンス。

    2014/04/11 リンク

    その他
    iakio
    iakio DJBがWebアプリケーションを作ったらどんなアーキテクチャになるんだろうと妄想する。まずリクエスト毎に別のユーザーIDでchrootだろうが、DB周りは難しいな

    2014/04/11 リンク

    その他
    tzt
    tzt パフォーマンスや複雑さとのトレードオフなのでなかなかそういう方向に行くのは難しそう。でもいずれはそうなるといいなぁ。

    2014/04/11 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について

    ■Heartbleedのリスクと善後策 Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの...

    ブックマークしたユーザー

    • kazuph19862014/10/15 kazuph1986
    • pmakino2014/07/06 pmakino
    • yggdra_w2014/06/02 yggdra_w
    • freza2014/05/01 freza
    • flakwing2014/04/30 flakwing
    • hamaco2014/04/25 hamaco
    • oppara2014/04/16 oppara
    • Kureduki_Maari2014/04/16 Kureduki_Maari
    • bobbyjam992014/04/16 bobbyjam99
    • sonota882014/04/16 sonota88
    • mjtai2014/04/15 mjtai
    • takuya_1st2014/04/15 takuya_1st
    • yosu12014/04/15 yosu1
    • sharaku3eyes2014/04/15 sharaku3eyes
    • Hash2014/04/14 Hash
    • tell-k2014/04/14 tell-k
    • rryu2014/04/14 rryu
    • otsune2014/04/14 otsune
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.