スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

SSL3.0のメモ


昨年(2014年)の10月にSSL3.0の脆弱性が見つかりました。

ブラウザの設定でSSL3.0が有効になっていると、中間者攻撃を受けたとき暗号化された情報が解析されるそうなので、
無効化する必要があるようです。
通称 POODLE と呼ばれているみたいですね。

ブラウザでSSL3.0が有効か無効かの判断をするサイトはこちら。
https://zmap.io/sslv3/

こんな表示が出たら危険です。ブラウザでSSL3.0が有効になってます。
s_c_warning.jpg


こんな表示が出たらOKです。ブラウザでSSL3.0が無効になってます。
s_c_good.jpg


実は、SSL3.0 を使わずに TLS を使っていても似たような脆弱性があるそうですが、
今のところ、SSL3.0 ほど深刻に考えなくてもいいのかなという気がします。





当然、サーバー側でも適切に対策してると思うのですが、気になるのでいろんなサイトを調べてみました。

チェックに使用したサイトはこちら。
https://www.ssllabs.com/ssltest/index.html



●Amazon
ここは、時々使ってるので、対策が気になります。

チェックしたアドレス。
www.amazon.co.jp
ログイン画面やアカウント画面など、ほとんどのページがこのアドレスですね。

Amazonの場合、上記のアドレスで3つのサーバーを使用してるようですが、
結果は全て A
s_a01.jpg

そもそも SSL3 を使用してません。
s_a02.jpg

POODLE に対しても問題無さそうです。
s_a03.jpg



●楽天
こちらもネットショップ大手なので、対策が気になります。

チェックしたアドレスは以下の2つ。
grp01.id.rakuten.co.jp
こちらは、楽天カード申し込みや楽天会員登録などで使用してます。
basket.step.rakuten.co.jp
こちらは、買い物かごに入れた後の確認画面で使用してます。

結果はどちらも F
s_ra01.jpg

SSL3 は使用可能になっています。
s_ra02.jpg

POODLE に対しては、SSL3もTLSも脆弱性があります。
クライアント側でTLSを使ってても危険な状態ですね。
大丈夫か、楽天?
s_ra03.jpg



●Yahoo
ヤフオクでおなじみのヤフー。
オイラはヤフオクを使ったことが無いので、決済画面などで使われてるアドレスがわかりません。
そこで、アカウント編集で使われてるアドレスをチェックしてみました。

チェックしたアドレス。
account.edit.yahoo.co.jp

結果は B
s_ya01.jpg

SSL3 は使用可能になっています。
s_ya02.jpg

しかしPOODLE に対しては、SSL3を使用してても緩和されてるようです。
TLSを使用していれば、POODLEの脆弱性はありません。
s_ya03.jpg



●三菱東京UFJ
フィッシング詐欺のメールでよく使われる銀行ですが、
果たしてサーバーの対策はどうか?

チェックしたアドレス。
entry11.bk.mufg.jp
ログイン画面で使用してます。

結果は C
s_mufg01.jpg

SSL3 は使用可能になっています。
s_mufg02.jpg

POODLE に対しても、SSL3は脆弱性があります。
TLSを使用していれば、POODLEの脆弱性はありませんが、compressionが有効になってます。
圧縮プロセスで暗号鍵が判明する場合があるそうなので、これは困りますね。
s_mufg03.jpg



●みずほダイレクト
こちらも大手銀行の一つですね。

チェックしたアドレス。
web.ib.mizuhobank.co.jp
ログイン画面で使用してます。

結果は F
s_miz01.jpg

SSL3 は使用可能になっています。
s_miz02.jpg

POODLE に対しては、SSL3を使用してれば緩和されてるようですが、
なぜかTLSを使用した場合、POODLEの脆弱性があります。
SSL3を推奨してるような感じで、謎仕様。
s_miz03.jpg



●ジャパンネット銀行
ネット銀行はどうなのか?
メガバンクと比べて対策してるのか?

チェックしたアドレス。
login.japannetbank.co.jp
ログイン画面で使用してます。

結果は C
s_jnet01.jpg

SSL3 は使用可能になっています。
s_jnet02.jpg

POODLE に対しても、SSL3は脆弱性があります。
しかし、TLSを使用していれば問題はなさそうです。
s_jnet03.jpg



●新生銀行
こちらもネット銀行です。

チェックしたアドレス。
pdirect05.shinseibank.com
ログイン画面で使用してます。

結果は B
s_sb01.jpg

SSL3 は使用可能になっています。
s_sb02.jpg

POODLE に対しては、問題ありません。
s_sb03.jpg



●Google
GoogleというかGmailのチェックです。

チェックしたアドレス。
accounts.google.com
ログイン画面で使用してます。

結果は B
s_g01.jpg

SSL3 は使用可能になっています。
s_g02.jpg

POODLE に対しては、問題ありません。
s_g03.jpg




というわけで、アドレスが https になっていても絶対に安全とは言えません。
クライアント側で適切な対処を行って、なおかつサーバー側の対策のチェックもしたほうが良い。
ということになりますね。

基本的にSSL3を使用不可にしてれば大丈夫ですが、ひどいのは楽天。
ニュースになってから4ヶ月ぐらい経過してるのに、これはダメでしょ。

とりあえず、楽天とみずほダイレクトは、よく考えて利用したほうが良さそうです。
スポンサーサイト

テーマ : インターネット関連
ジャンル : コンピュータ

プロフィール

エリアX

Author:エリアX
 
気になることを実験。
忘れないように記録。
こんなことをやってるブログです。

最新記事
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。