HTTP/2とTLSの間でapacheがハマった脆弱性(CVE-2016-4979) - ぼちぼち日記
0. 短いまとめ 昨晩apache2.4でHTTP/2利用時にTLSクライアント認証をバイパスする脆弱性(CVE-2016-4979)が公表され、対策版がリリースされました。 実際に試すと Firefoxで認証バイパスができることが確認できました。 HTTP/2でTLSのクライアント認証を利用するには仕様上大きな制限があり、SPDY時代から長年の課題となっています。 この課題を解決するため、Secondary Certificate Authentication in HTTP/2という拡張仕様が現在IETFで議論中です。 1. はじめに ちょうど昨晩、apache2.4のhttpdサーバの脆弱性(CVE-2016-4979)が公開され、セキュリティリリースが行われました。 CVE-2016-4979: X509 Client certificate based authenticatio
そもそもみずほ銀行の前身は、第一勧業銀行・富士銀行・日本興業銀行の合..
そもそもみずほ銀行の前身は、第一勧業銀行・富士銀行・日本興業銀行の合併あたりから始まってるわけです。 合併はしたもののこいつらは仲が良くなくて、社内でどこの銀行出身がリーダーとるかで血みどろの社内政治闘争が繰り広げられてます。それを反映して、社内の電算システムも、キメラ合体させ田つぎはぎのを使ってます。どの派閥も譲らなかったせいです。当然、死ぬほど古いプログラムを切り貼りして継ぎ合わせて使ってるので、もう誰も全体像はつかめないし改造するのも難しい状況ですし、触らぬ神に祟りなしみたいな状態でした。 記憶している人もいるかと思いますが、東日本大震災直後の2011年3月にみずほ銀行の子の電算システムは大規模な障害を起こしてます。8000億円規模の決済遅延を起こして、預金者に不便をかけました。当然金融庁の調査とかも入ってるんですが、その結果として「組織の上層部が派閥闘争しすぎで、仲悪すぎて、現場も
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
