パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

X11のスクリーンロッカーが安全でない理由」記事へのコメント

  • 攻撃にはスクリーンロッカーをブロックするプロセスが必要ということですよね。
    それには、攻撃プログラムを起動できる脆弱性か、Xサーバーに許可なく遠隔で接続させうる脆弱性が必要になると思います。

    そのような脆弱性が有るなら、スクリーンロッカーをいじらずとも、何でも可能な状態なのではないでしょうか。
    • by Anonymous Coward

      スクリーンロックを解除するためにはパスワード入力が必要です。
      確かに何らかのプログラムが必要ですが、単に何らかのプログラムを起動しただけではパスワードを知ることは出来ません。
      しかしロック画面を表示することで自然な形でパスワードを収集出来ます。
      また一般ユーザ権限のプロセスでも、管理者ユーザのロック画面などに偽装することで、管理者権限を得ることが可能かもしれませんし、
      共用PCならばログイン画面に偽装して他ユーザのパスワードを収集することも可能かもしれません。
      #そういった画面に偽装しなくても騙される人はいるからパスワード収集は可能ですが、偽装できればさらに効率は上がるでしょう。
      #ブラウザのアドレスバーやダイアログの偽装とかも類型と言えるかな?

      NT系でCTRL+ALT+DELキーが必要なのは、これがプロセスによりトラップするなどで無効化できないものであるからです。
      #ということをユーザが知らなければ意味がないのですけれどね。

      • 異なる機能のものを比較しても意味があるとは思えません。「NT系でCTRL+ALT+DELキーが必要」というのはローカルの話で、X は基本的にネットワークベースです。

        Windows であってもリモートデスクトップ越しにスクリーンロッカーに見えるものを解除する時、Ctrl + Alt + End を受け取ったローカル側のプロセスが、正しいリモートデスクトップなのか、そういった画面に偽装したパスワード収集ソフトなのかを判別できないのではないでしょうか。

物事のやり方は一つではない -- Perlな人

処理中...