パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SafariなどにSSLで証明書の検証が働かないバグ」記事へのコメント

  • MacSlashを眺めていて 同じ内容の記事 [macslash.org]を見つけました。バグ関連情報はここに出てました [secunia.com]。

    Konquerorの方には影響がないようですが、ここでいう「ordinary versionのKonquerorには影響がない」というのがいまいち理解できません。Embededじゃなければいい、ということなのかな。

    というのも、今回セキュリテ
    • Re:Konqueror Embeded? (スコア:3, 参考になる)

      by YamaKenZ (12605) on 2003年05月11日 19時00分 (#313750)
      Konqueror/Embedded [konqueror.org]は、khtmlを利用したPDA向けのWebブラウザです。デスクトップ向けのKonqueror [konqueror.org]とは違い、ファイルマネージャ機能は含んでいません。

      私はKonqueror/Embeddedに日本語関連パッチをいくつか適用したKonqueror-ja [que.ne.jp]を一応メンテしてますが、Linuxザウルス上で実行した場合、httpsサイトにアクセスすると以下のようなダイアログが出て無条件に認証に失敗します。

      Server Authentication: "The server certificate failed the authenticity test"

      ここで"Details"を押すと"Certificate has expired"となってしまっています。問題がOpenSSL(のバイナリパッケージ)とKonqueror/Embeddedのどちらにあるかすら調べていないのですが、このような挙動のバージョンもあるという事で参考まで。
      親コメント
      • by limbo (6813) on 2003年05月11日 20時01分 (#313784) 日記
        た、大変失礼しました。当方の不勉強でした。ありがとうございます。
        親コメント
      • by Daicki (4060) on 2003年05月11日 21時23分 (#313830) 日記
        KDEでは、SSL関係のモジュールはkhtmlとは別になっているように記憶しているのですが、
        Konquerorが大丈夫でSafariやKonqueror/Embeddedに問題があるのは
        そのあたりが理由なのではないかという気がします。
        #確認してませんが。
        親コメント
        • by YamaKenZ (12605) on 2003年05月11日 22時55分 (#313899)
          > KDEでは、SSL関係のモジュールはkhtmlとは別になっているように記憶しているのですが、
          ksslですね。Konqueror/Embeddedでもそのようになっています。

          > Konquerorが大丈夫でSafariやKonqueror/Embeddedに問題があるのは
          > そのあたりが理由なのではないかという気がします。
          Safariはksslを使ってないという事でしょうか。そちらの方はわかりませんが、Konqueror/Embeddedの方をちょっと調べてみました(気分転換を兼ねて)。

          kdelibs 2.2のkdelibs/kssl/ksslpeerinfo.ccにbool KSSLPeerInfo::certMatchesAddress()というメソッドがあり、これがcommon nameの照合を行っていますが、これを呼び出すコードはkdelibsにもKonqueror/Embedded(kdenox 1.0)にも存在しませんでした。なのでCN照合チェックは未実装なのではないかと思います。

          #ちなみに、kdelibs3ではbool KSSLPeerInfo::cnMatchesAddress(QString cn)というメソッドも用意されたようです。

          CNの照合はOpenSSL(libssl)の呼び出し側で実装する必要のある処理だったと記憶していますが、間違いであればご指摘下さい >詳しい方
          親コメント
          • by Daicki (4060) on 2003年05月11日 23時15分 (#313911) 日記
            > Safariはksslを使ってないという事でしょうか。

            Safariの発表がされた当時にkfm-develに投稿された関連メールを
            読んだ限りでは、KHTMLとKJS以外はAppleが相当するようなコードを独自に開発し
            リリースしているというようなことでしたので、おそらくそうではないかと思います。

            > kdelibs 2.2のkdelibs/kssl/ksslpeerinfo.ccにbool KSSLPeerInfo::certMatchesAddress()というメソッドがあり、
            > これがcommon nameの照合を行っていますが、これを呼び出すコードはkdelibsにも
            > Konqueror/Embedded(kdenox 1.0)にも存在しませんでした。なのでCN照合チェックは
            > 未実装なのではないかと思います。

            だとすると古いkhtmlでは照合チェックはしてなかったのかもしれませんねえ。
            あまり記憶がありませんが、エラーはあまり見かけなかったような気もします。
            ただ、当時はMozillaの使用頻度も結構高かったので、参考にならないかもしれません。

            (注:私は"SSLについて詳しい方"ではないです。)
            親コメント

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...