カールはプードル飼ってるのかな?

投稿アップデート情報  追記(10/26)

 前記事で, “POODLE” の件を書いた。その後, SSLv3 fallback attack POODLE というのを読んで, WordPress 上の cURL のことが気になりだした。

 curl_setopt( $handle, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1); というオプションを curl_setopt で見つけたが, WordPress Core Scripts のどこに入れるのが一番いいのかがわからない。で, WordPress Forums に topic を建ててきた。現在,回答待ちです。

追記(10/26):
 cURL が確かに TLSv1.2 を使っていることを確認できたので,さっき, topic を [resolved] にしてきた。 Apache の SSL のログに %{SSL_PROTOCOL} を入れて調べた。 class-http.php に CURL_SSLVERSION_TLSv1 on the file を入れる必要はないようだ。サーバのコンフィグがちゃんと出来てれば,クライアントは安全にアクセスできるんだね。もちろん,クライアントのソフトが TLS に対応してないとかじゃ話にならんけど。

 何はともあれ,(*´▽`*)。

「カールはプードル飼ってるのかな?」への4件のフィードバック

  1. こんにちは

    最近,sslやらシェルやらといそがしい。
    そしてwindowsupdateでまたKB2949927の不具合です。

    もう流石にないだろうなとjpcertをみれば
    Microsoft OLEに、未修正の脆弱性……すでに標的型攻撃が発生中
    http://www.rbbtoday.com/article/2014/10/22/124674.html

    もうお腹いっぱいすぎです。

    1. くりくりさん,こんばんは。

      今帰ってきました。
      ウワーッ。2014年10月 Microsoft OLE の未修正の脆弱性に関する注意喚起の件ですね。元記事はこっちですか。すでに標的型攻撃が発生してるというなら,やっぱ, Fix it 51026 をやっておくべきですかねぇ。今のとこ仲立ちファイルはパワーポイントが主みたいですが, OLE の悪用というとどこに飛び火するかわからない気もしますし。

      > もうお腹いっぱいすぎです。
      なんかもう,本当におなかいっぱいですね。

  2. こんばんは

    会社も本格的なhttpsを導入します。
    要求書をつくりCAから証明書を発行してもらっているのですが、まだ発行されません。
    日本の代理販売店にきくとなんか審査にひかかってるらしく2営業日かかるとのことです。

    実装は来週になりそうですね。今日やりたかったんだけどな・・・。

    それとやはりsslがやすくなってます。
    kingsslが前1400円だったのが、900円。
    価格競争がおきてますかね。

    1. くりくりさん,おはようございます。

      > 実装は来週になりそうですね。今日やりたかったんだけどな・・・。
      よくわかります。やるとなったら,一気にやりたい。待っているうちにやる気が失せたりして。仕事だとほったらかしにはできないけど,始めた理由が己の意志だけである場合,意志自体が霧消することもありますもんねぇ。とはいえ,今回の場合仕方ないですね。週明けを待ちましょう。

      > 価格競争がおきてますかね。
      もっと安くなるでしょうか。実際のとこは,零細サーバ運営者としては,あまりセキュアセキュアの方向に行ってほしくないんですよ。どうしたって動きに負担がかかって,軽快なレスポンスを維持するためには,ハードもスペックを要求されて,費用もかさみますから。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください