TLSとSPDYの間でGoogle Chromeがハマった脆弱性(CVE-2014-3166の解説) - ぼちぼち日記

1. はじめに、 Googleがハマったシリーズ第3弾。今度は Chrome の脆弱性がテーマです。 先日(8月12日頃）突然Google ChromeでSPDYの機能が一旦停止されました。CloudFareの人が気づいてspdy-devへのMLの問い合わせし、すぐGoogleのaglさんからの返事で計画的で一時的なものであることがわかりました。 twitterやfacebookもSPDYが全て使えなくなり非常に驚いたのですが、直後に Chrome の Stable/Beta/Dev チャンネルがアップデートされ、ほどなくして問題なくSPDYが使えるようになりました。 この理由は公式には明らかにされていませんが、Chromeのリリースアナウンスにヒントがありました。そこには、 High CVE-2014-3166: Information disclosure in SPDY. Credi

[ebo-c]

最近のSSL/TLS脆弱性って通信オーバーヘッドを何とかしようとして系ばかりな気がする

[Jxck]

濃ゆいなぁあいかわらず。

[ooblog]

「初期接続時は TLSとSPDYの認証・認可の機能はある程度連携できているのに~SPDYの再接続はTLS接続の再利用~コネクション集約機能を利用してGoogleのサーバに成りすまし」

[rryu]

SPDYのコネクション集約のチェックが甘くてうっかり集約されて通信できてしまうという感じか。

[mad-p]

Public Key Pinningが重要な役割を持っているのか。勉強になりました!

[TokyoIncidents]

詳細な解説素晴らしいです