- 2008-09-04 (Thu) 21:48
- 軟
Google が開発した Web ブラウザ,Google Chrome を試した。
インストールして起動した直後にバグ発見。セカンダリモニタで最大化しようとすると画面サイズを正しく認識しない。
これってどこに報告すればいいの? Chrome のページに何も書いてないんだけど。
タブを大量に開いたら favicon が見えなくなるまで開き続ける。のはいいんだけど,常用しようがないので多段表示できないかなぁ。
と思って設定ダイアログを開いた。が,そんな設定はない。
かわりにやばいものみっけた。
“SSL 2.0 を使用する”(デフォルトは無効)
さ せ る な !
SSLv2 (SSL 2.0) はゆめゆめ使ってはならんのである。v2 ならはっきりいって SSL を利用する意味は無い。
SSLv3 か TLSv1 (SSL 3.1) を使うべきだし,たとえば Firefox はバージョン 2 から SSLv2 のサポートをやめている。
IE7 以降や Opera9 以降では Chrome 同様にデフォルト無効でありつつも実装されてはいるが,こっちは過去の資産 (後方互換性) があるから仕方ないところもある。
しかし,Chrome は新しく立ち上がったプロジェクトなのだ。
てゆーか,いまどき SSLv2.0 は必要とされていないのに。
https で始まるページを読みに行く際,サーバとブラウザとの一番最初のやりとりは,「こんにちは」「ども」「この通信は暗号化しましょう。これ,うちの鍵です」「受領しますた」「暗号方式は A に変えましょう」 みたいなメッセージをやりとりする (SSL Handshake)。
2.0 では,この肝心な 「暗号方式は A に変えましょう」 というメッセージ自体が暗号化されていないため,中間者 (プロキシサーバーとかネットフィルタリングソフトとか) が,「暗号方式は B に変えましょう」 というメッセージ(を追加 | に差し替えられ) (MITM 攻撃) てしまうことが可能だ。
で,2.0 ではまだ MD5 という死に体な暗号がサポートされていたため,MD5 に変えられちゃったりすると,情報が漏洩する危険性をはらむわけ。
MD5 は計算表 (Rainbow Table) を利用すると瞬く間に攻略されてしまう。
いまどき新規に SSLv2 でフィッシング詐欺のために Web サイトを立ち上げることは考えにくい*1し,高木氏が危惧していたような (問題あるサイト証明書の確認ダイアログをほいほい閉じてしまうように教育された) ユーザーが,わざわざ Chrome を利用し,かつ SSLv2 を有効に変更するというシナリオも想定しがたい。
でも,必要ないオプションを入れるという設計は,やっぱりスジが悪いと言わざるを得ないのだ。
- Newer: 車を買いに行ったついでによっちゃんイカを買った男
- Older: SemanticScuttle のサムネイルをキャッシュしたりするパッチ
Trackback:No Trackbacks
- TrackBack URL for this entry
- http://kagura-c.info/blog_old/action.php?action=plugin&name=TrackBack&tb_id=131
- Listed below are links to weblogs that reference
- Google Chrome はなぜか SSL 2.0 をサポートしている from Clothoの弱電録