アカウント名:
パスワード:
スクリーンロックを解除するためにはパスワード入力が必要です。確かに何らかのプログラムが必要ですが、単に何らかのプログラムを起動しただけではパスワードを知ることは出来ません。しかしロック画面を表示することで自然な形でパスワードを収集出来ます。また一般ユーザ権限のプロセスでも、管理者ユーザのロック画面などに偽装することで、管理者権限を得ることが可能かもしれませんし、共用PCならばログイン画面に偽装して他ユーザのパスワードを収集することも可能かもしれません。#そういった画面に偽装しなくても騙される人はいるからパスワード収集は可能ですが、偽装できればさらに効率は上がるでしょう。#ブラウザのアドレスバーやダイアログの偽装とかも類型と言えるかな?
NT系でCTRL+ALT+DELキーが必要なのは、これがプロセスによりトラップするなどで無効化できないものであるからです。#ということをユーザが知らなければ意味がないのですけれどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
スクリーンロッカーで何が守れるのか (スコア:2)
それには、攻撃プログラムを起動できる脆弱性か、Xサーバーに許可なく遠隔で接続させうる脆弱性が必要になると思います。
そのような脆弱性が有るなら、スクリーンロッカーをいじらずとも、何でも可能な状態なのではないでしょうか。
Re: (スコア:0)
スクリーンロックを解除するためにはパスワード入力が必要です。
確かに何らかのプログラムが必要ですが、単に何らかのプログラムを起動しただけではパスワードを知ることは出来ません。
しかしロック画面を表示することで自然な形でパスワードを収集出来ます。
また一般ユーザ権限のプロセスでも、管理者ユーザのロック画面などに偽装することで、管理者権限を得ることが可能かもしれませんし、
共用PCならばログイン画面に偽装して他ユーザのパスワードを収集することも可能かもしれません。
#そういった画面に偽装しなくても騙される人はいるからパスワード収集は可能ですが、偽装できればさらに効率は上がるでしょう。
#ブラウザのアドレスバーやダイアログの偽装とかも類型と言えるかな?
NT系でCTRL+ALT+DELキーが必要なのは、これがプロセスによりトラップするなどで無効化できないものであるからです。
#ということをユーザが知らなければ意味がないのですけれどね。
Re: (スコア:1)
キー入力や画面の内容をキャプチャされない、特権モードのウィンドウがあればいいのかな。
ただ、それにはユーザが以下の事を理解して実行する必要があり、かなりの教育が必要になりそうですね。
1. パスワードを要求するウィンドウは「特権モード」である必要がある。
2. 特権モードでウィンドウを作成できるのは、あらかじめ設定されたプログラムだけ。
3. ウィンドウが特権モードかどうかは、ユーザが「特権を確認する操作」を行ない判断できる。
4. ユーザはスクリーンロッカーなどの、パスワードを要求するウィンドウには必ず「特権を確認する操作」を行なった上で、パスワードを入力しなければならない。
(パスワードを守ることで守られる物は何か、という問題もあります。
攻撃プログラムを実行された時点で、パスワードで守りたかった物があらかた盗られている可能性もあります。)
Re: (スコア:0)
Re:スクリーンロッカーで何が守れるのか (スコア:1)
そういったキーロガー的なプロセスにもフックされない「特権モード」を新に作れば解決するのかな、と思った次第です。
「特権モード」ウィンドウに対するイベントはキャプチャできないので、パスワードは盗れません。
「特権モード」ウィンドウのふりをしても、ユーザが「特権を確認する操作」をした時点でバレます。