[社会分析日和

[人物、経済、社会、政治、企業を分析していきます。
<< [LG電子はLG G3 BeatとG3 Stylusを用意 Galaxy Note追撃 | main | [Google上位サイトは直帰率が低い?検索用語はオーガニック検索とウェブマスターツールで確認、正確な順位はGRC+やログインしていないブラウザで。 >>


[Heartbleed脆弱性を解決するためにBoringSSLをGoogleが用意
0
    BoringSSL
    ○HeartBleedの悪夢からネットをBoringSSが救うL

     OpenSSLであるHeartBleedの脆弱性が発見されてかなり経ちますが、根本的な解決策が見つかっていません。
     そこでネットの覇者であるGoogleはBoringSSLという独自の技術で改善しようと試みています。

     OpenSSLとは安全なネット接続と個人保護の観点に立って作られたものでしたが、問題が表面化するまえから脆弱性が叫ばれていました。
     しかしIT管理者の腰は重く、このような悲劇的な事件が起こるまで放置されていたのが現状です。IT管理者は環境を変えることを特に嫌がります。それは今まで動いていたプログラムを無碍に(土台を変えて)動かなくなったり不安定にすることはないという考えからです。彼らもプロフェッショナルなのです。
     しかしHeartBleedの問題は長引き、誰も解決策を見いだせないままいたところ、Googleがオープンソースとボランティアで作られたBoringSSLをGoogle Chromeに搭載することを決めます。既に実装されています。GoogleによるとOpenSSLに多数の修正プログラムを充てて保護しているがそろそろこの手法も限界になってきたということで、BoringSSLが陽の目を見ます。
     どういう形で普及していくかわかりませんが、スタンダードになり、個人情報送信や銀行などの利用で、安全な取引ができることをGoogleは願って実装しました。

    追記:
     いわゆる徳丸本の徳丸浩様からご指摘がありました。

    『 
    OpenSSLおよびHeartBleedの問題は2種類あります。一つは、HeartBleed脆弱性がまだ解決には程遠いことですが、それは脆弱性対応バージョンのOpenSSLやパッチが適用されていないWebサーバー(その他端末)が多数残っていることです。

    もう一つの問題は、HeartBleedは修正されたものの、OpenSSLのソースコードが合理的な構造でなく脆弱性が混入しやすいことです。現実に、他の脆弱性も発見されています。そこで、OpenSSLから分岐して、もっと安全な代替ソフトを作ろうという動きがあります。

    OpenSSLの代替ソフトの一つがOpenBSDプロジェクトが始めたLibreSSL、もう一つがGoogleのBoringSSLです。したがって、BoringSSLはOpenSSLの構造的な問題は解決しますが、HeartBleedを解決するものではありません。

     追記が遅れたこと誠にお詫びいたします。

    ○関連記事

    トップページ
    http://sbook.fmyoko.com/

    (島耕作)


    | | 社会分析 | 08:34 | comments(0) | trackbacks(0) |









    http://fam.fmyoko.com/trackback/1533132
        123
    45678910
    11121314151617
    18192021222324
    25262728293031
    << August 2019 >>
    + SELECTED ENTRIES
    + RECENT COMMENTS
    + RECENT TRACKBACK
    + CATEGORIES
    + ARCHIVES
    + MOBILE
    qrcode
    + LINKS
    + PROFILE