カテゴリー
WordPress

カールはプードル飼ってるのかな?

The same article in English
投稿アップデート情報  追記(10/26)

 前記事で, “POODLE” の件を書いた。その後, SSLv3 fallback attack POODLE というのを読んで, WordPress 上の cURL のことが気になりだした。

 curl_setopt( $handle, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1); というオプションを curl_setopt で見つけたが, WordPress Core Scripts のどこに入れるのが一番いいのかがわからない。で, WordPress Forums に topic を建ててきた。現在,回答待ちです。

追記(10/26):
 cURL が確かに TLSv1.2 を使っていることを確認できたので,さっき, topic を [resolved] にしてきた。 Apache の SSL のログに %{SSL_PROTOCOL} を入れて調べた。 class-http.php に CURL_SSLVERSION_TLSv1 on the file を入れる必要はないようだ。サーバのコンフィグがちゃんと出来てれば,クライアントは安全にアクセスできるんだね。もちろん,クライアントのソフトが TLS に対応してないとかじゃ話にならんけど。

 何はともあれ,(*´▽`*)。

「カールはプードル飼ってるのかな?」への4件の返信

くりくりさん,こんばんは。

今帰ってきました。
ウワーッ。2014年10月 Microsoft OLE の未修正の脆弱性に関する注意喚起の件ですね。元記事はこっちですか。すでに標的型攻撃が発生してるというなら,やっぱ, Fix it 51026 をやっておくべきですかねぇ。今のとこ仲立ちファイルはパワーポイントが主みたいですが, OLE の悪用というとどこに飛び火するかわからない気もしますし。

> もうお腹いっぱいすぎです。
なんかもう,本当におなかいっぱいですね。

こんばんは

会社も本格的なhttpsを導入します。
要求書をつくりCAから証明書を発行してもらっているのですが、まだ発行されません。
日本の代理販売店にきくとなんか審査にひかかってるらしく2営業日かかるとのことです。

実装は来週になりそうですね。今日やりたかったんだけどな・・・。

それとやはりsslがやすくなってます。
kingsslが前1400円だったのが、900円。
価格競争がおきてますかね。

くりくりさん,おはようございます。

> 実装は来週になりそうですね。今日やりたかったんだけどな・・・。
よくわかります。やるとなったら,一気にやりたい。待っているうちにやる気が失せたりして。仕事だとほったらかしにはできないけど,始めた理由が己の意志だけである場合,意志自体が霧消することもありますもんねぇ。とはいえ,今回の場合仕方ないですね。週明けを待ちましょう。

> 価格競争がおきてますかね。
もっと安くなるでしょうか。実際のとこは,零細サーバ運営者としては,あまりセキュアセキュアの方向に行ってほしくないんですよ。どうしたって動きに負担がかかって,軽快なレスポンスを維持するためには,ハードもスペックを要求されて,費用もかさみますから。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です