今月中ごろくらいからSSL v3.0の脆弱性である”POODLE”の話題が時々飛び込んできます。
攻撃が成功される恐れは低いとされながらも、広範に影響が出るのでちょっと心配な話題でした。
MicrosoftはIE用のFix itを公開したそうです。
これを適用することでIEではSSL v3.0が無効になるとのことです。
Microsoft、SSL 3.0脆弱性対策としてIEの「Fix it」を公開 今後数カ月以内にIEのデフォルト設定でSSL 3.0は無効に
[Internet Watch]
安全性は確保できますが、SSL v3.0でないとアクセスできないサイトというのもまだ結構あるらしいので、そういったサイトが対策されるまで利用できなくなるのはちょっと不便かもしれません。
ちなみにPOODLE問題についてOperaはというと、Opera25でSSLの通信内容を分割して攻撃を無効化する対策を取っているそうです。
Security changes in Opera 25; the poodle attacks
[Opera Security blog]
Opera12についてはSSL v3.0自体を無効化することで対応しているそうです。
Operaのオフィシャルのblogではいつものことですが、上のエントリの最後には「プードル分割対抗策の開発過程において、本物のプードルは傷つけられたりしていません」というお断りの文が入っています。