アカウント名:
パスワード:
今度はキーロガーに盗まれる可能性がありますし、キーロガーを備えたGumblarの亜種はすでに存在したという噂もありますが、少なくともFTPクライアントを起動すらしていないのに感染した瞬間盗まれることはなくなります、くらいは書いておかないと。それに、基本的に「感染した時点で負け」なんだから感染しないための対策(各種パッチで最新にしておく、ゼロデイが発見されていても更新が遅い上自動更新の仕組みもないAdobe ReaderのJavaScriptは無効にしておく等)を書いておくべきでしょう。それにしても「オープンソースだから暗号を解読できます」と(しかも作者本人が)書いてるのってどうなの。マルウェア作者はリバースエンジニアリングが違法かどうかなんて気にしませんよ? WinnypやPerfect Darkの暗号はどうやって解読されたと思ってるんでしょうか?
FFFTP作者さんの発言 [biglobe.ne.jp]は、
FFFTPはパスワードをレジストリに記録しております。簡単な暗号化をかけてありますが、FFFTPはオープンソースであるため、暗号の解除はプログラムソースを解析すれば可能です。
と、「ソースから解析することができる」とおっしゃっているだけです。違法かどうかを言っているのではなく、「(逆アセンブルなどのリバースエンジニアリング手法を用いる必要がある)ソース非公開プログラムより、解析の難易度が低い」ということでは?
確かにオープンソースでなかった場合のことについて何も言っていないというのは論理的には正しいのですが、現に「オープンソースだから云々」という流言飛語が飛び交っているところを見ると、ちょっとうかつな発言だったと思います。じゃあ「ALFTP [vector.co.jp]に乗り換えれば安心だね」とか考えられると有害ですらあります。# そんなこと考える奴が悪い? それを言ったらそもそもGumblarに感染する奴が悪いでしょ。Gumblarに感染するバカが相手であることが前提なのをお忘れなく。ただ作者本人が「感染した時点で何しても無駄です」とか言っても居直りとしか受け止められない可能性があるのが難しいところですね…。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
パスワードを保存しなかったら (スコア:0)
今度はキーロガーに盗まれる可能性がありますし、キーロガーを備えたGumblarの亜種はすでに存在したという噂もありますが、少なくともFTPクライアントを起動すらしていないのに感染した瞬間盗まれることはなくなります、くらいは書いておかないと。
それに、基本的に「感染した時点で負け」なんだから感染しないための対策(各種パッチで最新にしておく、ゼロデイが発見されていても更新が遅い上自動更新の仕組みもないAdobe ReaderのJavaScriptは無効にしておく等)を書いておくべきでしょう。
それにしても「オープンソースだから暗号を解読できます」と(しかも作者本人が)書いてるのってどうなの。マルウェア作者はリバースエンジニアリングが違法かどうかなんて気にしませんよ? WinnypやPerfect Darkの暗号はどうやって解読されたと思ってるんでしょうか?
Re:パスワードを保存しなかったら (スコア:3, 参考になる)
FFFTP作者さんの発言 [biglobe.ne.jp]は、
と、「ソースから解析することができる」とおっしゃっているだけです。
違法かどうかを言っているのではなく、「(逆アセンブルなどのリバースエンジニアリング手法を用いる必要がある)ソース非公開プログラムより、解析の難易度が低い」ということでは?
Re: (スコア:0, 参考になる)
確かにオープンソースでなかった場合のことについて何も言っていないというのは論理的には正しいのですが、現に「オープンソースだから云々」という流言飛語が飛び交っているところを見ると、ちょっとうかつな発言だったと思います。じゃあ「ALFTP [vector.co.jp]に乗り換えれば安心だね」とか考えられると有害ですらあります。
# そんなこと考える奴が悪い? それを言ったらそもそもGumblarに感染する奴が悪いでしょ。Gumblarに感染するバカが相手であることが前提なのをお忘れなく。
ただ作者本人が「感染した時点で何しても無駄です」とか言っても居直りとしか受け止められない可能性があるのが難しいところですね…。
Re: (スコア:0)
この行ですか。ソースを解析すれば可能と書いてるんだから正解だと思いますが。バイナリを解析しても可能でしょうけど。
マスターキーを起動時に入力させればいんじゃ?とも思いますが、パスワードをレジストリ保存するユーザーはそれもウザイんでしょうね。
ターゲットにされたソフトの作者としては、イタチごっこだとしても何らかの対応は求められるわけで、今後も戦いは続きそうですね。
Re: (スコア:0)