« OpenSSL祭り(CVE-2014-0160) | メイン | HerokuのWebSocketでC10Kに挑戦(後篇) »

2014年4月 9日 (水)

続OpenSSL祭り - 現在の状況は多分こんな感じ

昨日ブログを書きあげた後で素晴らしいまとめ記事を見つけました。

http://d.hatena.ne.jp/nekoruri/20140408/heartbleed

もうHeartbleedに関してはこれだけ読んでおけば良いんじゃないかと。(^^;

昨日書いた自分の理解はおおむね合ってたようですねぇ。。(^^v
ハッハッハッハッ。。。最悪です。

特に攻撃を受けた側が、攻撃されたかどうかを判断する術がないというあたりがいかんともしがたい。(--

技術情報に関しては上記でもう十分な気がしますが、イマイチ世間(非IT含む)に今回の件の深刻さが伝わってない気がするのでちょっとたとえ話をしてみたいと思います。
若干大袈裟な表現と感じるところがあるかもしれませんが、それはワザとです。
不安になったら自力で調べてみてください。


あなたは自分の大切なモノを保管するために部屋を借りました。その部屋には世界で一番売れている錠前が付いているので安心です。(^^v

ところが!

その錠前には必殺のピッキング技があって全ての錠前を鍵なしで開けることが可能だったのです。ナニ―(+o+)

あなたはあわてて錠前屋を呼んでピッキング対策をを行ったので、現在ではそのピッキング技は使えません。しかし、そのピッキング技が有効だった期間は約2年あります。。。
なにしろ世界中で使われている錠前だったのでもう世界中大パニックです。今のところ実際に被害があったという話は聞かれませんが、今まで安全と信じていたものが実はそうではなかったということが問題です。

あなたは改めて部屋を見渡してみます。どこにも侵入者があった形跡はありません。しかし部屋の中にはマスターキーもあるので、侵入者がそれを持ち出して合鍵を作った可能性は否定できません。

さて、あなたは錠前を交換するべきでしょうか。。。。




。。。というのが、現在の状況であるというのが僕の認識です。

その部屋が自分のものしか置いていない場所であれば、鍵を取り変えないという選択もあるかもしれません。実際のところ本当に侵入者があって鍵を持ち出した可能性というのは極めて低いだろうとも思います。

では、これが自分の部屋ではなく貸倉庫のような場所だったとしたらどうでしょうか?

あなたは貸倉庫を運営していてお客に保管スペースを提供しています。その部屋には世界で一番売れている錠前が付いているので安心です。(^^v

ところが!

(以下同文)

さて、あなたはこの倉庫の錠前を交換するべきでしょうか。。。。




いかがでしょう?普通の感覚であれば鍵が交換されない限りこの倉庫を使おうとは誰も思わないんじゃないでしょうか。。。僕の感覚では鍵を交換しないという選択肢はありません。

さらに付け加えるとすぐにピッキング対策を行ったあなたはまだ良心的な方で、実際にはピッキング対策を行わないままその錠前を使い続けている人が山ほどいるのです。。

。。。あー、書いててまた憂鬱になってきた。。。(--

実際のところ自分の使っている銀行やクレカのサイトでは現時点でこの問題に対して何のアナウンスも出ていないので、そろそろ「お前らのところは本当に大丈夫なのか?!」と問い合わせようかと思っているところです。(このブログのURLつけて)

ちなみにMoneyTreeという銀行口座のまとめサービスは現在サービスを停止しています。
お金を扱うサービスではこれ位の配慮は欲しいですよね。(他人事ではないのですが。。。)



もう本当に世の中のすべてのサイトでHeartbleed対応がどうなっているのかを明記してほしいですわ。。。(--


ところでCA(ここでいう錠前屋)は証明書(鍵)の無償交換に応じているところが多いようですが、あんたの所のリクエストフォームはHeartbleed対応されているの?っていうこともとても気になります。。。(--

(4/10追記)

若干文章修正しました。テクノロジー色の強いサービスを中心に徐々にパスワード変更を推奨というメールが届き始めています。(自分がほとんど使っていないので)ショップ系のサイトの対応がどうなっているかはわかりませんが、何のアナウンスも無いところには自分から問い合わせても良いでしょう。

トラックバック

このページのトラックバックURL:
http://bb.lekumo.jp/t/trackback/493401/32192921

続OpenSSL祭り - 現在の状況は多分こんな感じを参照しているブログ:

コメント

コメントを投稿

採用情報

株式会社フレクトでは、事業拡大のため、
Salesforce/Force.comのアプリケーション
開発
HerokuやAWSなどのクラウドプラッ
トフォーム上でのWebアプリケーション開発

エンジニア、マネージャーを募集中です。

未経験でも、これからクラウドをやってみた
い方、是非ご応募下さい。

フレクト採用ページへ

会社紹介

株式会社フレクトは、
認定コンサルタント
認定上級デベロッパー
認定デベロッパー
が在籍している、
セールスフォースパートナーです。
heroku partnersにも登録されています。
herokuパートナー
株式会社フレクトのSalesforce/Force.com
導入支援サービス
弊社の認定プロフェッショナルが支援致します。
・Visualforce/Apexによるアプリ開発
・Salesforceと連携するWebアプリ開発
も承っております。
セールスフォースご検討の際は、
お気軽にお問合せください。
Powered by Six Apart