アカウント名:
パスワード:
今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
今回問題にされているのは、
過去にこの手口が使われなかった理由はただ1つ、わざわざやってみるほどの 価値がないからだとギブソンは語る。 しかし、Passportの登場によって、ログイン情報の魅力は
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
「穴がある」とは書かれていない (スコア:3, 興味深い)
今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
今回問題にされているのは、
Re:「穴がある」とは書かれていない (スコア:2)
>これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
ごく古いUnixならそうかもしれませんね。
現状、shadowなどの暗号化システムがあるので、たとえ/etc/passwdが読めても
脆弱性にはならないと思いますけど。
#shadowでの暗号化は一方向の暗号化であって、それからpasswordを
#再現するのはとんでもない計算量が必要なはずで、
#時間的に不可能だから。
#・・・と思うのですけど、記憶怪しいかもしれません(汗)。
#間違
---- redbrick
Re:「穴がある」とは書かれていない (スコア:0)
古い話はよく知らないのですが、
「ごく古い Unix」では /etc/passwd に Password が平文で
書かれていたのですか?
私が知る限り、Password は Scramble されていたと思います。
ただ、その Scramble された結果が、
誰でも読める /etc/passwd に書かれていたので、
Dictionary Attack や Brute Force Attack されてしまう
危険があるために、Scramble された Password は
読み込み制限のかかった Shadow File に書かれるように
なったのですよね?
Re:「穴がある」とは書かれていない (スコア:1)
root,600,plain pass
root,644,scrambled pass
root,644,passフィールドなし、root,600な別ファイルにscrambled pass
みたいな流れだったかと。
まぁなんにせよ、今のところ、暗号化は安全を保障するものではないですからねぇ。
よく「読めない」といわれるLiberdade
平たく言うと (スコア:1)
と言うことでいいんですよね?
そういや、unixでも「suコマンドか何かに擬態して、管理者権限に 移行するときにパスワードを盗み取る」プログラムとかあったらしいですね。
#./をpathに入れるなとさんざん怒られた記憶があります。
Re:「穴がある」とは書かれていない (スコア:0)
という感じの時代もありました.
Re:「穴がある」とは書かれていない (スコア:2)
伏流のように、インターネットの底を流れ続けてますよね。
#anonymous ftp → napstar もそうかも。
-- wanna be the biggest dreamer
参考までに (スコア:1)
しかもパスワード自体も 8 文字までだった。
いまは MD5 ハッシュを使ってる (使ってない Unix もあるけど)。
8 文字以上のパスワードも使える。
「パスワード自体の強度」というユーザに依存する点を除けば、
システムとしての強度は上がってると思うが。
# mishimaは本田透先生を熱烈に応援しています