SBI証券では、ホームページなどにおいて、安全性の高いSSL通信を使用しておりますが、SSL通信で使用する通信方式のひとつである「SSL3.0」に深刻な脆弱性があり、第三者により「SSL 3.0」による通信の一部が解読されてしまう恐れがあることが判明しております。 そのため、当社ではお客さまの情報資産の安全性確保のため、「SSL 3.0」によるアクセスの遮断を2014/10/31(金)早朝に実施させていただきました。 通信設定のご確認・ご変更をいただきましたお客さまのご理解とご協力に感謝いたします。 引き続き、SSL3.0の脆弱性に関しまして独立行政法人情報処理推進機構より、対処プログラムを含めた、ブラウザごとの本脆弱性の解消・回避策等が更新されております。 独立行政法人情報処理推進機構のWEBサイト
米国Google社より、インターネットにおける暗号通信の標準仕様として広く使われてきた「SSL3.0」に、安全性の問題が存在するとの発表がありました。 ただし、現在「SSL」は、「TLS」と呼ばれる、より高度な暗号化方式にバージョンアップされており、多くのブラウザ(「Internet Explorer」等のインターネット閲覧ソフト)では、最も高水準の方式を優先的に選択する設定が行われているため、通常は「SSL3.0」ではなく「TLS1.0」以上のバージョンが選択される仕様となっていることから、安全性への影響はございません。 しかし、ご利用のブラウザが「SSL3.0」のみを有効とする設定になっている場合、上記の問題が顕在化して暗号通信が破られる可能性があります。 つきましては、現在ご利用のブラウザについて、暗号通信の設定内容を参照し、「TLS1.0」以上の使用が『有効』となっていること
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。 Googleはシステム管理者はWebサイトの
Posted by usa on 27 Oct 2014 We changed the default setting of ext/openssl in Ruby 2.1.4, Ruby 2.0.0-p594 and Ruby 1.9.3-p550. With this change, insecure SSL/TLS options are now disabled by default. However, by this change, there is a possibility of some problems in the SSL connection. Details OpenSSL still implements protocols and ciphers that are considered insecure today by historical circumsta
This release handles the recent POODLE vulnerability by disabling SSLv2/SSLv3 by default for the most predominate uses of TLS in Node.js. It took longer than expected to get this release accomplished in a way that would provide appropriate default security settings, while minimizing the surface area for the behavior change we were introducing. It was also important that we validated that our chang
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 もくじ 1. はじめに 2. SSLv3を無効化できる場合のサーバー対策 2.1. Apache HTTPD Server + mod_ssl 2.2. Apache HTTPD Server + mod_nss 2.3. nginx 2.4. lighttpd 2.5. Microsoft IIS 2.6. (訂正)Apache Tomcat (Java JSSE) 2.7. Node.js 2.8. IBM HTTP Server 2.9. Amazon Web Services 2.10. その他のサーバー 2.11. SSLv3 を無効化するリスク 2.12. OpenLDAP 3. 諸般の事情で SSLv3 を有効にせざるを得ない場
SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。サーバ、クライアント間の通信において、SSL 3.0 を使用している場合、通信の一部が第三者に漏えいする可能性があります。 ただし、攻撃には複数の条件が必要で、例えば、中間者攻撃や、攻撃対象に大量の通信を発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性ではありません。 サーバ管理者および利用者は対策の要否を検討し、必要に応じて後述の対策を実施してください。 図:脆弱性を悪用した攻撃のイメージ サーバもしくはクライアントのどちらか一方で、SSL 3.0 を無効化することで対策できます。 なお、SSL 3.0 を無効化することで次の影響を受ける可能性があります。 サーバ側で SSL 3.0 を無効にした場合 一部のクライアントから接続ができなくなる可能性があります。 クライアント側で S
SSL 3.0 の脆弱性 (POODLE) 対策で Web サーバの SSL 3.0 を無効にした件とブラウザ側の対処まとめ SSL 3.0 に存在する脆弱性、通称 「POODLE」 に関連して、自分が管理している Web サーバ (Apache) の SSL 3.0 を無効にした際の設定方法と、各ブラウザごとに SSL 3.0 を無効にする方法などをまとめています。 2014年 10月 14日 に発表された「Secure Sockets Layer(SSL)」のバージョン 3.0 (SSL 3.0) に存在する脆弱性 (CVE-2014-3566)、通称 「POODLE (Padding Oracle On Downgraded Legacy Encryption)」 ですが、これに関連して、自分で管理している Web サーバ (Apache) の SSL 3.0 を無効にしました。 そ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く