2006-12-21 [長年日記]
■Internet Explorer 7 は弱い暗号方式を許す
えーと、多分検索すればいろいろ情報がでてくるんだろうけど、一応書き記しておく。
Internet Explorer 7 の既定値で「SSL2.0を使う」というチェックが外れているのだけど、それでもなお——Mozilla, Firefox ではとっくの昔に許されなくなった——「弱い暗号化通信」が未だに許されている。
例えば、
Firefox2.0だと
という警告がでてアクセス不可能*1。(2007/2/9 追記 今はaskulのページでこの警告は見られない)(2007/3/7 前項取り消しand追記 あれー? 今日見たら警告が出たぞ? なんか勘違いしてしまったかな?)
IE7だと通信ができる。
で、[ファイル]-[プロパティ]を見てみると……
とある。
共通鍵暗号は 共通鍵長56bitのDES だと見ればいいのかな?
Firefox(やMozilla)でSSL2.0が許可されなくなったのは、確かSSL2.0で、不正に弱い暗号方式にされてしまうという攻撃方法があったからではなかっただろうか。
IE7のSSL2.0を既定で無効にするという判断は悪いことではないけれど、弱い暗号方式を許したままだと「ユーザが意識しないところで弱い暗号方式で通信している」という状況を起こすことにかわりはないわけで……。
IE7で、弱い暗号方式を許さない、もしくは警告をする、という設定はあるのだろうか?
時間が許せば探してみるところだけど、私はIEは使わないからなぁ……。
追記
高木さんのページで読んだのだった。
SSL 2.0では、プロトコルの冒頭部分で使用する暗号 の種類を決める際に、その部分が通信路上で改竄される攻撃を受ける可能性が あり(なにしろまだSSL通信は始まっていないのだから)、それによって使用 する暗号強度をダウングレードさせられる危険性などの問題があった。
高木浩光@自宅の日記 - SSL 2.0をオンにしろと指示するサイト
■げんしけん 2冊頼んでた……
間違って同じ本を別々のところに頼んでた……。土曜日には届きそうだけど、2冊もどうしろと。
- 作者: 木尾 士目
- 出版社/メーカー: 講談社
- 発売: 2006-12-22
- ASIN: 4063646742
- メディア: コミック
■数学探検
- 作者: キース ボール
- 出版社/メーカー: 青土社
- 発売: 2006-12-01
- ASIN: 4791763157
- メディア: 単行本
*1 日本語版の警告はどんなかな?