HTTPS脆弱性、100のうち24は対処 | エンタープライズ | マイコミジャーナルThe primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications. 2009年11月に入ってからTLS/SSLに介入者攻撃を可能にする脆弱性(CVE-2009-3555)があるというニュースが伝えられた。 この脆弱性を利用されると介入者がプロトコルストリームのはじまりの段階で任意の量のプレインテキストを挿入することが可能になる。HTTPとの組み合わせで調査されているが、ほかのプロトコルとの組み合わせでも同様の問題が発生する可能性があり、しかもこの脆弱性は実装側では抜本的な対処が難しい。OpenSSLは同脆弱性の原因となる処理をそもそも無効にするバージョンをOpenSSL 0.9.8lとして公開している。 TLS/SSLに設計
