再ネゴシエーション脆弱性
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/09 06:55 UTC 版)
「Transport Layer Security」の記事における「再ネゴシエーション脆弱性」の解説
2009年11月4日、SSL 3.0以降の再ネゴシエーション機能を利用して、クライアントからのリクエストの先頭に中間者が任意のデータを挿入できるという脆弱性が報告された。プロトコル自体の脆弱性であり、すべての実装が影響を受ける。 この脆弱性への簡単な対策は、サーバにおいて再ネゴシエーションを禁止することである。根本対応としては、TLS Extensionを使った安全な再ネゴシエーション手順がRFC 5746として提案されている。この脆弱性を利用した中間者攻撃では、サーバがRFC 5746に対応しない限りクライアントは再ネゴシエーションが発生したことを検出できないので、クライアント側のみで対応することは不可能である。
※この「再ネゴシエーション脆弱性」の解説は、「Transport Layer Security」の解説の一部です。
「再ネゴシエーション脆弱性」を含む「Transport Layer Security」の記事については、「Transport Layer Security」の概要を参照ください。
- 再ネゴシエーション脆弱性のページへのリンク