つれづれなるままに

_ [日記] カウンター

694人でした。

_ [日記] 実際のところ暑いのは明日なのですが

暑いです。夕飯にそば食べたからだな。

汗だくでした。

でも、明日は関東で場所によっては30度行くみたいで。。。

こりゃたまらん。

_ [訃報] H.R. Giger

映画エイリアンなどのデザインをした画家のH.R.ギーガー氏が13日亡くなったそうです。

享年74歳。

かなりグロテスクで退廃的な絵を描く人だったのですが、実は結構この人の絵が好きだったりします。画集も3集持ってるし、ギーガー版のタロットも持ってたり。

御冥福をお祈りします。

_ [PC] OpenSSL

今話題の(少し遅い？)OpenSSLについてWikipediaから。

OpenSSLに対するHeartbleedと呼ばれる脆弱性は、2011年12月31日からあって、ずっと脆弱性のあるバージョンが使われ続けてきたみたいです。

TLSのメモリーの扱いに関してのバグらしくて、このバグを利用することで一回のハートビートの間に64kBytesのメモリーを読み取ることができるそうです。

どうも、2011年の時点でgitリポジトリに提供された善意のパッチによるものらしいです。そして、その修正に対して脆弱性があることが判明したのが、2014年の4月だったということ。

この脆弱性が公表される前に、脆弱性が内々に調べられていたことがわかっていますが、対策が講じられる前に公表されてしまったみたいです。

対策としては、旧バージョンに対しては、-DOPENSSL_NO_HEARTBEATS オプションをつけてハートビートを使用しないようにしてコンパイルしなおすか、バグ対応された1.0.1gに置き換えるかということらしいです。

OpenSSLはサイト認証とか暗号化に使われるSSLとかTLSとかのオープンソースの実装なんですね。

よく言われるのは、クレジットカード決済などでよくSSL認証されていることで安全を確保するのに使われたり、そのサイトが本物かどうかを認証するための証明書の照合をしたりするのに使われてるわけです。

それで、クレジットカードの漏洩とかの可能性ということで問題になったわけです。

このTSLという認証システム自体も、そもそもからして絶対安全というわけではないみたいです。WWWではハイパーリンクをくりかえすので、どの段階で認証されるかがわかりにくいことや、成りすましの可能性もあるからです。(いわゆるフィッシングサイトというやつ。)

自分の身は自分で守らないといけない、とは言いますが、インターネット上に存在する多くの危険性を全て個人で対策することは不可能でしょうね。それを専門につぶしてかかっている人ならともかく、意識せずに使っている一般のユーザーは、利用するソフトやアプリやサイトが対応してくれるまではどうしようもないわけですね。

そういったところの行き着く先は、ネット上の資産は全て共用のものであり、個人が独占するものではない、という思想になるわけで。

昔は善意で情報やデーターを提供していたのにねぇ。

まぁ、あんまり極端になると、よく考えてもみれば、これは全体主義になってしまいますね。

でも、もしかしたら、インターネットというのは本質的に全体主義的なものなのかもしれません。