パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ワームなどによるWebサイト改ざん対策の特効薬「FTPパスワードの強制変更」 」記事へのコメント

  • FTPやめればいいのに。
    素人向けでFTPと同じように扱えるGUIあるでしょ。
    自分がユーザだったら、パスワード勝手に変えられるよりは
    別のソフト使ってくださいって言われるほうがましだと思うけど。
    • by Anonymous Coward on 2010年07月02日 23時37分 (#1789444)

      ログインするための端末がウイルスに感染している場合、別のプロトコル使おうが別のソフトウェアを使おうが何の解決にもなりません。

      クライアントソフトでパスワードを保存していれば、たとえ暗号化してあっても
      オープンソースなら容易に(クローズドでもリバースエンジニアリングすれば何とか)パスワードを解読できますし、マスターパスワード方式で暗号化をかけてもキーロガーが仕込まれていればマスターパスワードがバレます。

      #だいたい、既にログインパスワードが洩れてるかもしれないのに同じパスワードを使わせつづけたら、攻撃者がログインプロトコルを変更するだけで不正アクセスできてしまう。

      親コメント
      • by Anonymous Coward
        FTPする前に簡単な認証をするアプリをかませばいいんじゃないですかね。
        POP before SMTPみたいに。で、認証後に当該のアカウントのFTPを受け付けると。
        アプリは独自に作って、まあ大規模なところは相手側に対策されちゃうけど小規模
        なところは相手にしないでしょうから。コストもあまりかからないような気がするけど。
        • by Anonymous Coward

          >アプリは独自に作って
          やめてーWindowsオンリーにするつもり!?><

          # もっと危ないとは言ってませんが、利便性は損ねる...

          • >やめてーWindowsオンリーにするつもり!?><

            なんでFTPかというと、たいていのOSで動くし、クライアントソフトウェアもそれなりにあるからなんですよね。
            その独自に作ったアプリを「使い慣れているFTPクライアントに実装せよ」とか言われるのがオチだったりしそう。

            DOS プロンプトからftp.exeでとかの場合、面倒なことになりそうな予感。

            親コメント
            • by Anonymous Coward
              JAVAでクライアント作ればいいのでは。そうすれば機種関係ない。
              • それをどう「使っている人の環境に組み込む」かが問題なんだよね。
                長年、同じ手順でやっていて手順だけ継承されているなんてケースはざら。
                Javaで作ったら組み込んでくださいとかいったら、「じゃ、うち来てやってくれや」
                で相手の環境を調べたり直したり、直したらメンテしろと...

                そして、実装するだけでも、相手の環境が一昔前のミニコンで、JAVAすらなくて、
                そしてその環境は実は誰も触れないけど、動いているから使っているだと、きついだろうね。

                「じゃ、うちにある20年前に入れた東芝のミニコンに実装してくれ」とかね。

                親コメント
          • by Anonymous Coward

            オンラインバンクのように、トークン配布してパスワードを1回限りの使い捨てにすれば全OS、全FTPクライアント対応にできる(別にFTPでなくても可)

            個人向けには非現実的ですが、企業向けなら可能かと。

            #この方法でもログインをした瞬間にセッションをウイルスが奪えば書き換えできますけど、攻撃できる機会は非常に減ります。

            • by Anonymous Coward

              「ただし金は払わん」って言われたらおしまいじゃないですかね。

          • by Anonymous Coward
            WEBサーバ上のHTMLコンテンツで十分ですよ。
      • by Anonymous Coward
        パスワード使うシステムなんて滅びてしまえばいい、ってことになるのはいつだろうね。
        PKIのUSBキー的なものになってほしい。

最初のバージョンは常に打ち捨てられる。

処理中...