OpenSSLのバグ発見 Heartbleedとは何か?
OpenSSLバグ「Heartbleed」ネット業界が大騒ぎになっています。
「何で大騒ぎなのか?」って人が多いと思いますので、少し解説してみたいと思います。
私達がインターネット上のWebサイトで安全にパスワードを入力したり、クレジット番号を入力することができるのはSSLと呼ばれる暗号通信のお陰です。
このため、大切な通信データは他の人が覗くことができません。
今回のバグ(ソフトウェアの欠陥)は「Heartbleed」心臓からの出血と呼ばれる、史上最悪のバグ。
このSSLを動かすための複雑かつ巨大ソフトウェアを皆で一緒に作って保守していきましょうって言うのが OpenSSL Projectという組織、成果物のソフトがOpenSSLです。
こういう仕組みをオープンソースと呼びます。
一社で作るより効率がいい。現在、Googleが積極的に貢献しています。
この結果、ネット上のWebサイトの66%がOpenSSLを使っています。
だから影響も大きい。
このSSLを動かすための複雑かつ巨大ソフトウェアを皆で一緒に作って保守していきましょうって言うのが OpenSSL Projectという組織、成果物のソフトがOpenSSLです。
こういう仕組みをオープンソースと呼びます。
一社で作るより効率がいい。現在、Googleが積極的に貢献しています。
この結果、ネット上のWebサイトの66%がOpenSSLを使っています。
だから影響も大きい。
「Heartbleed」とはどんなバグかと言うと、問題の欠陥はこの1行。
「memcpy」というのは、「データをコピーする」C言語の関数ですがここのpayloadというサイズを工夫すると、前にデータの内容が64Kバイト単位で取られる可能性があります。
幸いにもGoogleでは、検索やGmail、YouTube、ウォレット、Google Play、Google Appsなどの主要サービスで、パッチを適用済みだと発表しています。
主要なWebサイトは対策を取っていますが、クレジットカードを使ったり、インターネットバンキング等を利用する場合、下記のサイトでWebサイトで対策すみかのチェックができます。
チェックサイト
それでも、心配な方はパスワード変更をしましょう。
しかし、インターネットの世界は便利なようで面倒くさい世界でもあります。
「memcpy」というのは、「データをコピーする」C言語の関数ですがここのpayloadというサイズを工夫すると、前にデータの内容が64Kバイト単位で取られる可能性があります。
幸いにもGoogleでは、検索やGmail、YouTube、ウォレット、Google Play、Google Appsなどの主要サービスで、パッチを適用済みだと発表しています。
主要なWebサイトは対策を取っていますが、クレジットカードを使ったり、インターネットバンキング等を利用する場合、下記のサイトでWebサイトで対策すみかのチェックができます。
チェックサイト
それでも、心配な方はパスワード変更をしましょう。
しかし、インターネットの世界は便利なようで面倒くさい世界でもあります。
コメント
コメントを投稿