パスワードを忘れた? アカウント作成
10908336 story
セキュリティ

OpenSSLの脆弱性の影響、Torにも及ぶ 10

ストーリー by hylom
匿名化できない 部門より
あるAnonymous Coward 曰く、

OpenSSLの脆弱性「Heartbleed」によってTorの多数のノードが影響を受ける恐れがあるそうだ(ThreatpostslashdotITmedia)。

米ノースイースタン大学のセキュリティ研究者Collin Mullinerがランダムに抽出したTorのノードを約5000スキャンしたところ、その2割にあたる1045に脆弱性があることが分かったそうだ。この脆弱性を悪用することで、Torネットワークの出口となるexitノードのトラフィックを取得できるという。

なお、Tor Projectでは脆弱性「Heartbleed」発覚後にリジェクトした380ノードのブラックリストをメーリングリストにて公表している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年04月23日 9時04分 (#2587428)

    > Torネットワークの出口となるexitノードのトラフィックを取得できるという。

    通信元の元の元の身元が割れる、という話ではないって解釈でいいんだろうか?

    まあ心血を利用して身元を割るような奴がいたとしても
    そんな事をする奴もどうせ脛傷だろうから、警察にログを突き出すような事はしないと思うが。。。

    • by Anonymous Coward
      >警察にログを突き出すような事はしないと思うが。。。
      もっとたちの悪いリークのされ方しそうですけどね
    • by Anonymous Coward

      もともと出口のノードの人には、見られていた情報が他の人にも覗かれるってことでないのかな
      最終接続先がhttps接続なら情報は読めないかと思います。(平文は、発信元と最終接続先にしかない)
      (出口ノードの人が、メールを読んでいたってニュースがあった気がする)
      それとも、メモリ内に出口のノードにつなげている接続元の情報があれば順に追っていけ元ばたどれる???

      Torは単に発信元IPを隠すだけで、情報読まれないようする機能や匿名の機能なんてものは、ないと思っています。
      広告などのcookie等に固有の番号がついてると、同じブラウザでTor無でアクセスしてしまうと特定可能でないのかな。

      • by Anonymous Coward

        だからTorと通常のネットワークではブラウザを分けるのが普通です。
        公式にTor専用のブラウザパッケージを配ってるので普通の人はそれを使うだけですみます。

        • by Anonymous Coward

          Tor専用のブラウザが簡単に動くってことは、そのPCから直にも、つなげることが可能な状態だから
          Tor専用のブラウザの普通のアクセスはTor経由だがそれ以外のアクセスは、Tor経由してくれるかわからない。
          たとえば、裏で動いているセキュリティソフトがURLのチェックする機能があった場合、そのアクセスがTor経由してくれるとは、思えないし、
          また、フラッシュ等が行う通信はTor経由なの?

          1つ1つ大丈夫だと確認していっても、全部のアクセスなんて把握できないんだから、
          本来は直アクセスできない状態にして、Tor経由でしかつながらない状態にすべきだとおもうので、
          それだとTor専用のブラウザだと難しい。

          • by Anonymous Coward

            ってわけでできたのがTails [boum.org]だと思うんだけど、詳しく知らないから違うかも知れない。

    • by Anonymous Coward
      心血は利用するものではなく、注ぐもの。
      • by Anonymous Coward

        「心血を利用して身元を割る」って、たぶん北斗神拳みたいな話でしょう。
        スネに七つの傷を持つとかなんとか。

      • by Anonymous Coward

        元文を書いた人はHeartBleedを直訳しただけで、注ぐ方の心血とは違う意味で書いていると思いますよ・・・

  • by Anonymous Coward on 2014年04月23日 13時00分 (#2587552)

    あの事件に別の展開もあったかもしれない
    と思うと残念でなりません。

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...