opensslのheartbleedに関する私の認識

危険性を煽るばかりの文書が目に付いて不愉快なので，理性的メモを感情的に作る．「対象が特定されている」「攻撃されたぶんは取り返しがつかない，追跡もできない」「最新版では解消されている」

1. 概要
   1. 脆弱性を取り除いた版はすでにリリースされている
   2. 2年ほど前からリリースしているあらゆる版が脆弱性を持つ
   3. 脆弱性の内容は，メモリの，任意位置の連続した64KBが読み取られる点
   4. 繰り返し実行されることで，その時のメモリの内容を隅々まで読み取られる
   5. セキュリティツールはopensslの他にもある．例えばfilezillaはgnutlsを使用しているとかで，関係ない
   6. 内容の深刻さから，誰かがHeart Bleed（心臓出血）という呼称を付け，深刻さばかりが広まっている
2. 一般人がすべきこと
   1. セキュリティ機能付きソフトウェア更新．ffftpとかね
   2. 個人情報がメモリに載る状況を回避するため，opensslを利用してセキュリティを確保しているサービスにログインしない．彼らの対応待ち
3. opensslを利用しているサービス提供者はサービスを止め，使用するopensslライブラリを更新するなどして対策し，再開する．告知する

追記エリア

この辺の情報が素敵だったというメモ．

• Heartbleed脆弱性の影響とパスワード変更に関する議論 - Togetterまとめ 2014-04-11 12:07:35 から同日15:46:40まで
• Kazuho's Weblog: Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について 投稿者 Kazuho Oku 時刻: 3:41 PM