前記事で, “POODLE” の件を書いた。その後, SSLv3 fallback attack POODLE というのを読んで, WordPress 上の cURL のことが気になりだした。
curl_setopt( $handle, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);
というオプションを curl_setopt で見つけたが, WordPress Core Scripts のどこに入れるのが一番いいのかがわからない。で, WordPress Forums に topic を建ててきた。現在,回答待ちです。
追記(10/26):
cURL が確かに TLSv1.2 を使っていることを確認できたので,さっき, topic を [resolved] にしてきた。 Apache の SSL のログに %{SSL_PROTOCOL} を入れて調べた。 class-http.php に CURL_SSLVERSION_TLSv1 on the file を入れる必要はないようだ。サーバのコンフィグがちゃんと出来てれば,クライアントは安全にアクセスできるんだね。もちろん,クライアントのソフトが TLS に対応してないとかじゃ話にならんけど。
何はともあれ,(*´▽`*)。
This website uses cookies.
View Comments
こんにちは
最近,sslやらシェルやらといそがしい。
そしてwindowsupdateでまたKB2949927の不具合です。
もう流石にないだろうなとjpcertをみれば
Microsoft OLEに、未修正の脆弱性……すでに標的型攻撃が発生中
http://www.rbbtoday.com/article/2014/10/22/124674.html
もうお腹いっぱいすぎです。
くりくりさん,こんばんは。
今帰ってきました。
ウワーッ。2014年10月 Microsoft OLE の未修正の脆弱性に関する注意喚起の件ですね。元記事はこっちですか。すでに標的型攻撃が発生してるというなら,やっぱ, Fix it 51026 をやっておくべきですかねぇ。今のとこ仲立ちファイルはパワーポイントが主みたいですが, OLE の悪用というとどこに飛び火するかわからない気もしますし。
> もうお腹いっぱいすぎです。
なんかもう,本当におなかいっぱいですね。
こんばんは
会社も本格的なhttpsを導入します。
要求書をつくりCAから証明書を発行してもらっているのですが、まだ発行されません。
日本の代理販売店にきくとなんか審査にひかかってるらしく2営業日かかるとのことです。
実装は来週になりそうですね。今日やりたかったんだけどな・・・。
それとやはりsslがやすくなってます。
kingsslが前1400円だったのが、900円。
価格競争がおきてますかね。
くりくりさん,おはようございます。
> 実装は来週になりそうですね。今日やりたかったんだけどな・・・。
よくわかります。やるとなったら,一気にやりたい。待っているうちにやる気が失せたりして。仕事だとほったらかしにはできないけど,始めた理由が己の意志だけである場合,意志自体が霧消することもありますもんねぇ。とはいえ,今回の場合仕方ないですね。週明けを待ちましょう。
> 価格競争がおきてますかね。
もっと安くなるでしょうか。実際のとこは,零細サーバ運営者としては,あまりセキュアセキュアの方向に行ってほしくないんですよ。どうしたって動きに負担がかかって,軽快なレスポンスを維持するためには,ハードもスペックを要求されて,費用もかさみますから。