アカウント名:
パスワード:
Firefoxもアウト?
マスターパスワードを設定しないで保存していたら、原理的には FFFTP と同じです。マスターパスワードを設定すれば、それをキーに暗号化されるので、マスターパスワードを何らかの形で(キーロガーなり、ブルートフォースなり)取得しないと、保存しているアカウント情報からパスワードは取得出来ないはずです。
それよりも、FFFTP なんていう日本ローカルでメジャーなソフトのレジストリが漁られた、というのは意外な気がしたなぁ。同様のことは WinSCP でも FileZilla でも起こると思うのだが...。それとも、既に起こってる?
>マスターパスワードを何らかの形で(キーロガーなり、ブルートフォースなり)取得しないと、保存しているアカウント情報からパスワードは取得出来ないはずです。
これは正しいけど、「保存しているアカウント情報から」取得できないだけで、ftpやhttpなど平文パスワードの通信方式なら「通信から」取得できる(そしてそれはマルウェアが入ってる時点で可能)ので、マスターパスワードの設定さえすれば安心という誤解を招くのでは
この書き方も、平文でないSFTP,FTPS,SSLなら安心という誤解を招きかねないが、これらは「通信から」取得できなくても「キー入力から」取得できる(そしてそれはマルウェアが入ってる時点で可能)ので、結局#1711741 [srad.jp]の言うようにマルウェアが入った時点で何やってもだめ。Gumblarはそこまで見ないようだからadhocな対策にはなるかもしれないけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
オープンソースでパスワード管理しているのが駄目だとなると (スコア:1)
Firefoxもアウト?
Re: (スコア:3, 参考になる)
マスターパスワードを設定しないで保存していたら、原理的には FFFTP と同じです。マスターパスワードを設定すれば、それをキーに暗号化されるので、マスターパスワードを何らかの形で(キーロガーなり、ブルートフォースなり)取得しないと、保存しているアカウント情報からパスワードは取得出来ないはずです。
それよりも、FFFTP なんていう日本ローカルでメジャーなソフトのレジストリが漁られた、というのは意外な気がしたなぁ。同様のことは WinSCP でも FileZilla でも起こると思うのだが...。それとも、既に起こってる?
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:2, すばらしい洞察)
>マスターパスワードを何らかの形で(キーロガーなり、ブルートフォースなり)取得しないと、保存しているアカウント情報からパスワードは取得出来ないはずです。
これは正しいけど、「保存しているアカウント情報から」取得できないだけで、ftpやhttpなど平文パスワードの通信方式なら「通信から」取得できる(そしてそれはマルウェアが入ってる時点で可能)ので、マスターパスワードの設定さえすれば安心という誤解を招くのでは
この書き方も、平文でないSFTP,FTPS,SSLなら安心という誤解を招きかねないが、これらは「通信から」取得できなくても「キー入力から」取得できる(そしてそれはマルウェアが入ってる時点で可能)ので、結局#1711741 [srad.jp]の言うようにマルウェアが入った時点で何やってもだめ。Gumblarはそこまで見ないようだからadhocな対策にはなるかもしれないけど。