アカウント名:
パスワード:
今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
今回問題にされているのは、
過去にこの手口が使われなかった理由はただ1つ、わざわざやってみるほどの 価値がないからだとギブソンは語る。 しかし、Passportの登場によって、ログイン情報の魅力は
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
「穴がある」とは書かれていない (スコア:3, 興味深い)
今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
今回問題にされているのは、
Re:「穴がある」とは書かれていない (スコア:2)
>これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
ごく古いUnixならそうかもしれませんね。
現状、shadowなどの暗号化システムがあるので、たとえ/etc/passwdが読めても
脆弱性にはならないと思いますけど。
#shadowでの暗号化は一方向の暗号化であって、それからpasswordを
#再現するのはとんでもない計算量が必要なはずで、
#時間的に不可能だから。
#・・・と思うのですけど、記憶怪しいかもしれません(汗)。
#間違
---- redbrick
Re:「穴がある」とは書かれていない (スコア:1)
/etc/shadowに切り分けたもんでしょ。で、/etc/shadowはrootの600だから、
一般ユーザはのぞけないということ。パスワードの暗号化方式にとくに違いはないはず。
Re:「穴がある」とは書かれていない (スコア:2)
---- redbrick