2005年09月09日
■ やってはいけないセキュリティ設定指示 Top 15 (Windows XP SP2編)
| 設定の指示 | 罪深さ | 希少性 | 必然性 | |
|---|---|---|---|---|
| 1 | 「署名済みActiveXコントロールのダウンロード」を有効にしてください | 凶悪 | けっこうある | 皆無 |
| 2 | 「スクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行」を有効にしてください | 凶悪 | しばしばある | 皆無 |
| 3 | 「未署名のActiveXコントロールのダウンロード」を有効にしてください | 凶悪 | 稀にある | 皆無 |
| 4 | 「スクリプトによる貼り付け処理の許可」を有効にしてください | 最悪 | よくある | ほとんどない |
| 5 | 「無効なサイト証明書について警告する」をオフにしてください | 最悪 | 稀にある | 皆無 |
| 6 | 「このゾーンのサイトにはすべてサーバーの確認(https:)を必要とする」のチェックを外してください かつ 信頼済みサイトゾーンのセキュリティレベルは「低」に | 危険 | よくある | ない |
| 7 | 「混在したコンテンツを表示する」を有効にしてください | 危険 | 稀にある | 皆無 |
| 8 | 「SSL 2.0を使用する」を有効にしてください | 危険 | 稀にある | めったにない |
| 9 | 「サードパーティのCookie」を受け入れるにしてください | 不適切 | よくある | ない |
| 10 | 「ActiveXコントロールに対して自動的にダイアログを表示」を有効にしてください | 不適切 | しばしばある | 皆無 |
| 11 | 「ファイルのダウンロード時に自動的にダイアログを表示」を有効にしてください | 不適切 | しばしばある | ほとんどない |
| 12 | 「ダウンロードしたプログラムの署名を確認する」をオフにしてください | 不適切 | 稀にある | 皆無 |
| 13 | 「ポップアップブロックの使用」を無効にしてください | 不適切 | けっこうある | 皆無 |
| 14 | 「スクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行」をダイアログにしてください | 不適切 | しばしばある | ない |
| 15 | 「未署名のActiveXコントロールのダウンロード」をダイアログにしてください | 不適切 | しばしばある | ない |
■ SSL 2.0でないと接続できないサイトにアクセスするとどうなるか
昨日の日記は、 必要もないのにSSL 2.0を有効にせよと指示しているサイトの例だったが、 本当にSSL 2.0でないとアクセスできないサイトというのは、どうやら非常に 珍しいようで、探してもそうそう見つかるものでもない。
次のサイトがひとつ見つかったので、SSL 2.0をオフにしてここにアクセスし てみると、どんな結果になるか体験できる。
FirefoxでSSL 2.0をオフにして上のURLにアクセスすると下の図の警告が出る。
OpenSSLのdebugモードで接続してみたところ次のようになった。
$ openssl s_client -debug -connect www.hellowork.go.jp:443
CONNECTED(00000003)
write to 100438D0 [10044220] (142 bytes => 142 (0x8E))
0000 - 80 8c 01 03 01 00 63 00-00 00 20 00 00 39 00 00 ......c... ..9..
0010 - 38 00 00 35 00 00 16 00-00 13 00 00 0a 07 00 c0 8..5............
0020 - 00 00 33 00 00 32 00 00-2f 03 00 80 00 00 66 00 ..3..2../.....f.
0030 - 00 05 00 00 04 01 00 80-08 00 80 00 00 63 00 00 .............c..
0040 - 62 00 00 61 00 00 15 00-00 12 00 00 09 06 00 40 b..a...........@
0050 - 00 00 65 00 00 64 00 00-60 00 00 14 00 00 11 00 ..e..d..`.......
0060 - 00 08 00 00 06 04 00 80-00 00 03 02 00 80 ae e6 ................
0070 - 27 b1 5e 25 b3 4a 4e 7f-3e 61 4a c2 cd b9 df b8 '.^%.JN.>aJ.....
0080 - c8 2b d4 48 4c a5 d6 3e-39 39 8f 78 f3 cf .+.HL..>99.x..
read from 100438D0 [10049780] (7 bytes => 7 (0x7))
0000 - 84 80 04 00 01 00 02 .......
read from 100438D0 [10052A9F] (1147 bytes => 1147 (0x47B))
0000 - 04 59 00 0c 00 10 30 82-04 55 30 82 03 c2 a0 03 .Y....0..U0.....
(略)
---
Ciphers common between both SSL endpoints:
RC4-MD5 EXP-RC4-MD5 DES-CBC-MD5
DES-CBC3-MD5
---
SSL handshake has read 1256 bytes and written 269 bytes
---
New, SSLv2, Cipher is DES-CBC3-MD5
Server public key is 512 bit
SSL-Session:
Protocol : SSLv2
Cipher : DES-CBC3-MD5
Session-ID: ...................................
(略)