アカウント名:
パスワード:
> ゲイツ氏はIBMのPCキーボードで確実に割り込みを発生させるにはその方法しかなかったと説明。
「NTはマルチタスクだから、バックグラウンドのジョブが重いと、ログインプロンプトを出せない」⇒「確実な割り込みが必要」ってこと?
当時すでに普及してたUNIX系はじめどんなマルチタスクOSでもそんな浅はかな発想では作られていないのにね。ログインプロンプトに、リアルタイム性が求められるわけでもあるまいし。
いや、あらゆるユーザプログラムに邪魔されないよう、確実にOSが押されたことを検出して、ログイン画面を出せないと危ない。
例えば、IEのF11とかみたいな、全画面表示を推奨するようなサイトを作ったとして。3分間操作されなかったら、トイレにでも行ったんだろうと見なして、本物そっくりの偽のログイン画面を表示する。帰ってきたユーザが、ロックしたっけ? とか思いながらパスワードを入力してしまうとアウト。
社員それぞれ用のアカウントがある社内の共有PCなんかだともっと簡単で、ピクセル単位で見分けが付かない、偽のログイン画面を表示するプログラムは簡単に作れる。自分のアカウントでログインした状態でそれを走らせておけば、同僚のパスワードが抜きたい放題になる。
という類の攻撃を防ぐ手段として、「OSが正常に動作している限りは、どんな状態であれ、その操作がされると絶対にOSに制御が移る操作」が必要。
ログイン中のパスワードの変更操作なんかも同じ。偽のコントロールパネルアプリを作って、同僚がうっかり端末をロックせずにトイレに行っている間にこそっとアイコンを差し替えて。その後、同僚が、マウス操作でコンパネを開いてパスワードを変更しようとすると、偽のアプリにパスワードを抜かれる。
その手の操作に関しては、絶対に本物が出てこないと困る。CTRL+ALT+DELが不発に終わるような事があってはいけない、というのが、確実に割り込みを発生させる必要性。
ローカルで直接仕込めるならキーロガーとかもっとリーズナブルな手段がいくらでもあるんじゃないかな?
なんでそこで割り込みが必要になるのか分からんけど。キーボードのデバイスドライバはユーザ権限のアプリが直接コントロールしてるのか?何のためのOSだ。
当時の技術では取りこぼしかねず不安だった、ぐらいなんじゃないのかな? 知らんけど。
16ビットのプログラムやらが混ざってた時代だし。
ユーザ権限のアプリが大量のリソースを掴んで振り回してるとか、何か別のことでCPUが手一杯だったりすると、普通のキー入力は取りこぼされることが稀に起こりかねない、とか。CTRL+ALT+DELの割り込みはハードウェア処理されて、そんな状態でも取りこぼさず確実に処理に回される、とか。
取りこぼすことがあるのが脆弱性ってこと?なぜ?
CTRL+ALT+DELを押した→「本物のログイン画面が出たに違いない」→パスワード入力するぞー
の、CTRL+ALT+DELをOSが取りこぼすと、「CTRL+ALT+DELが押されたのに本物のログイン画面に遷移しない」=「偽のログイン画面を出したままにする」余地が生まれる。
良くあるセキュリティホールの「この脆弱性を用いた攻撃が成立するかどうかは不明」ぐらいの微妙な脆弱性だけど、埋めておくに越したことは無い。
あと、「1キーでも良かったんじゃね?」の議論がずっとずーっと出てるけど、どんなキー操作にするにせよ、「それ以外には一切使い道が無いキー操作」にする必要がある。1キーにすると、一般のご家庭とか企業のオフィスレベルでは使われないセキュリティのための「それ専用キー」を増設する事になってしまうし、「じゃあ普段、使わないようなキーの組み合わせを何か決めよう」となったら、↑ぐらいの微妙な理由でも、それを採用するのには十分、ぐらいの経緯なんじゃないかな。知らんけど。
> 1キーがどうのっていう話はつまり現行のWindows 10は欠陥OSって言いたいわけね。
過去の機器のときには考慮が必要だったための仕様が現在までも残っている、別に実害があるわけではないという話を無理やり「Win10は欠陥OSだ!!」に飛躍させちゃうApple信者さんはスラドから出てってくれ
Macでも当然採用されているQWERTYキーボードなんてまさに過去の機器(物理的なタイプライター時代のアーム動作)の制限引きずりまくってるからね当然それを搭載したMacを欠陥と断罪するんだろうね?まさかそれをしないで逃げられるなんて思ってないだろうね?
さて、Apple信者がMacを徹底的にたたくのを楽しみにさせてもらうよ
ああ、あとマイナスモデは自由にするといいよ、スラドでもさすがにマイナスモデそのものが悪用されてることはみんな理解してるからね
無関係なdisに持ってこうと余計なこと書くからマイナスモデもらうんだろうが、学習しろ。AppleがMicrosoftやGoogleになっても同じことだ、学習しろ。
ログイン専用キーなんてついてないじゃん
記憶を持たず目の前の文章に対してツッコミらしき反応を見せるだけの生き物なの? それとも大勢の馬鹿が群がってきてるの?
MSがIBMに対して、当時のCTRL+ALT+DEL相当の強いハードウェア割り込みに紐付いた新たなキーを作ろう、と提案したけど断られた。とりあえずCTRL+ALT+DELでWindowsNTを作って、定着した。定着する前にもっと強く押し通しておけば良かったなぁ、とゲイツが言ってるというのがこのストーリー。
Macでも当然採用されているQWERTYキーボードなんてまさに過去の機器(物理的なタイプライター時代のアーム動作)の制限引きずりまくってるからね
そんなこと書いてるとyasuoka先生 [srad.jp]が来ちゃうぞ。
もはや、最初のコメントの浅はかさそのものじゃん。
ログインプロンプトが最優先事項って、もっとヤバイ脆弱性満載だっただろWindowsNT。そういうチグハグな感覚がバカにされる要因なんだよな。
X-windowなんかでも、ログイン画面に似せたパスワード集めプログラムをユーザー権限で作れるけど、そんな浅はかで悪意あるユーザーにも使わせる状況そのものがおかしいから、対処の優先順位は低かった。
いや、Windows様のお考えじゃない。
「高度なセキュリティが要求される場面で使えるOSの持つべき標準仕様」というようなのがあって、そこに、「ログインを安全にする、ログイン前の特殊操作」も必須とされているだけ。その仕様を満たしていないと、政府や企業が発注する「その標準仕様に準拠したOSを納入せよ」という案件やらで候補に挙がらなくなる。
まともなOSはどれも対応しているはず。WindowsNTもそれに従っただけ。
なんだその多重伝聞や推測や利用環境限定なんかが入り交じった苦し紛れは。
間違ってるかも知れないという推測に基づくツッコミ乙。
アメリカ政府が規定した、「Trusted Computer System Evaluation Criteria」とやらのレベルB2以上で要求される「Trusted path for login」とやらかな。
もし、万が一、正しい知識を学びたいという気持ちを持っているんだったら、細かくは「高信頼パス」でググれ。無ければ永遠にノイズを吐いとれ。
どうしたらセキュリティ対策の優先順位の話になるのか理解できん。
坊や、ctrl+alt+delはその昔pcの最優先割り込み発生機構だったんだよ。最優先の機能を使うのは最優先で対策してますって言う暗黙の意思表示なんだ。
ctr+alt+delにこの機能がついたのは割合最近の話でマイクロソフトがこの組み合わせを実用化したタイミングでは別の機能が振られていたような。
ワークステーションが共用だったころログイン画面っぽいものを表示しておいたらみんながパスワードを入力してくれたのでsuっぽく子シェルを立ち上げてあげたらだれにも疑われずに情報収集がはかどってなまれにメッセージを出すイースターエッグを仕込んだら管理者に相談がいったらしくrootもログインしてたのでそこから無敵
WINDOWSも9xの時代は偽画面一枚でだませたんだけど、NTからカジュアルな方法は通じなくなったそんな昔の思い出
例えを2つ出したら、分離して理解できなかったかな?
>共用PCならログオフやリブートでクリーンナップが当然
それは、ログインしてる人が、自分のアカウントかデータを攻撃されないようにやる行動。
問題の解決に必要な機能は「勝手な画面を表示した状態で席を立つことができない」。
>ましてやロックせずに離席な時点でお話になっていません
ロックもログオフもリブートもせずに席を立つのは、攻撃者。攻撃される側ではない。
「卑劣な攻撃者め、ロックせずに離席するなんてお話にもならないぞ」って、意味をなさないでしょ。当たり屋に交通ルールを守れと言うようなもんだと分かります?
攻撃される側の視点から見ると、朝、会社に着いて、パソコンのマウスを操作してスクリーンセーバーを解除、ログイン画面が表示されたのでパスワードを入力するだけ。
攻撃者は、それよりも早く出社して、自分のアカウントでログインして、偽パスワード画面アプリを起動して放置する。
クリーンナップ機能やらが有効に働く瞬間はどこにも無い。
>その例えって物理操作できる状況に悪意の第三者がいる状況じゃないですか>ログイン画面が正常だからって何が安全だというんでしょう
そう。もちろん、パソコンそのものが入れ替えられてる、とか、まだまだ危険はあるので、カメラ監視するなり、入退室時にパソコンが入りそうなでかい鞄を持っていないかチェックするなり、追加の対策は必要。
そして、その追加の対策が意味をなすのは、そこまで大げさな作業無しに、攻撃が成立しうるという問題を解決してからの話。
最後の部分だけ。この話題に限らず、100%の対策でなければ意味がないみたいな反論は、基本無視していいと思う。費用対効果とか、多重防御の概念がない人とセキュリティの話題で話をしても、会話が成り立たないので。
> この話題に限らず、100%の対策でなければ意味がないみたいな反論は、基本無視していいと思う。
それは宗教の典型的な手法だからね
Macなら安全、iOSなら安全、なぜ?というと「証拠もなくとにかくAppleがそう言ってるからだ」で押し切る
他社のまともなセキュリティと危険性のトレードオフの話はすべて否定しなきゃいけないので、他社には完璧論理想論を押し付ける
そこで成立するのは宗教性にまみれた「信者思考」だけなので必ずAppleが勝つことになる
だからアンチWindowsやアンチAndroidはそんな行動ばかりとるようになる
あら、計算機科学史をご存じない若い方なんですかね。
セキュリティの概念は時代とともに変わっていますから、今の常識を当時の常識に当てはめるのは愚考ですよ。
3284727のコメントは遥か過去からの時を超えたメッセージだったんですね!
最初の設計時から今まで引きずってることについての話なんだから、スタート地点は昔の概念だってことぐらい理解しろ。
あのー、このPCバッテリー抜けません。それ以前に、本気で言ってるなら、今一番強靭なUSB Type-Cケーブル手元に用意しておいてくださいね。
「そんな仕様」ってどのことを言ってるの?コメントを読んでも妥当な対象が推測できないのですが…
セクコンとかに出てる学生さんかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
割り込み発生って (スコア:0)
> ゲイツ氏はIBMのPCキーボードで確実に割り込みを発生させるにはその方法しかなかったと説明。
「NTはマルチタスクだから、バックグラウンドのジョブが重いと、ログインプロンプトを出せない」
⇒「確実な割り込みが必要」
ってこと?
当時すでに普及してたUNIX系はじめどんなマルチタスクOSでもそんな浅はかな発想では作られていないのにね。
ログインプロンプトに、リアルタイム性が求められるわけでもあるまいし。
Re:割り込み発生って (スコア:2, 興味深い)
いや、あらゆるユーザプログラムに邪魔されないよう、確実にOSが押されたことを検出して、ログイン画面を出せないと危ない。
例えば、IEのF11とかみたいな、全画面表示を推奨するようなサイトを作ったとして。
3分間操作されなかったら、トイレにでも行ったんだろうと見なして、本物そっくりの偽のログイン画面を表示する。
帰ってきたユーザが、ロックしたっけ? とか思いながらパスワードを入力してしまうとアウト。
社員それぞれ用のアカウントがある社内の共有PCなんかだともっと簡単で、
ピクセル単位で見分けが付かない、偽のログイン画面を表示するプログラムは簡単に作れる。
自分のアカウントでログインした状態でそれを走らせておけば、同僚のパスワードが抜きたい放題になる。
という類の攻撃を防ぐ手段として、「OSが正常に動作している限りは、どんな状態であれ、その操作がされると絶対にOSに制御が移る操作」が必要。
ログイン中のパスワードの変更操作なんかも同じ。
偽のコントロールパネルアプリを作って、同僚がうっかり端末をロックせずにトイレに行っている間にこそっとアイコンを差し替えて。
その後、同僚が、マウス操作でコンパネを開いてパスワードを変更しようとすると、偽のアプリにパスワードを抜かれる。
その手の操作に関しては、絶対に本物が出てこないと困る。
CTRL+ALT+DELが不発に終わるような事があってはいけない、というのが、確実に割り込みを発生させる必要性。
いろいろと前提がおかしい気がする (スコア:2)
ローカルで直接仕込めるなら
キーロガーとかもっとリーズナブルな手段がいくらでもあるんじゃないかな?
uxi
Re: (スコア:0)
なんでそこで割り込みが必要になるのか分からんけど。
キーボードのデバイスドライバはユーザ権限のアプリが直接コントロールしてるのか?
何のためのOSだ。
Re: (スコア:0)
当時の技術では取りこぼしかねず不安だった、ぐらいなんじゃないのかな? 知らんけど。
16ビットのプログラムやらが混ざってた時代だし。
ユーザ権限のアプリが大量のリソースを掴んで振り回してるとか、何か別のことでCPUが手一杯だったりすると、
普通のキー入力は取りこぼされることが稀に起こりかねない、とか。
CTRL+ALT+DELの割り込みはハードウェア処理されて、そんな状態でも取りこぼさず確実に処理に回される、とか。
Re: (スコア:0)
取りこぼすことがあるのが脆弱性ってこと?なぜ?
Re: (スコア:0)
CTRL+ALT+DELを押した→「本物のログイン画面が出たに違いない」→パスワード入力するぞー
の、CTRL+ALT+DELをOSが取りこぼすと、「CTRL+ALT+DELが押されたのに本物のログイン画面に遷移しない」=
「偽のログイン画面を出したままにする」余地が生まれる。
良くあるセキュリティホールの「この脆弱性を用いた攻撃が成立するかどうかは不明」ぐらいの微妙な脆弱性だけど、埋めておくに越したことは無い。
あと、「1キーでも良かったんじゃね?」の議論がずっとずーっと出てるけど、
どんなキー操作にするにせよ、「それ以外には一切使い道が無いキー操作」にする必要がある。
1キーにすると、一般のご家庭とか企業のオフィスレベルでは使われないセキュリティのための
「それ専用キー」を増設する事になってしまうし、「じゃあ普段、使わないようなキーの組み合わせを何か決めよう」となったら、
↑ぐらいの微妙な理由でも、それを採用するのには十分、ぐらいの経緯なんじゃないかな。知らんけど。
Re:割り込み発生って (スコア:1)
> 1キーがどうのっていう話はつまり現行のWindows 10は欠陥OSって言いたいわけね。
過去の機器のときには考慮が必要だったための仕様が現在までも残っている、別に実害があるわけではないという話を
無理やり「Win10は欠陥OSだ!!」に飛躍させちゃうApple信者さんはスラドから出てってくれ
Macでも当然採用されているQWERTYキーボードなんて
まさに過去の機器(物理的なタイプライター時代のアーム動作)の制限引きずりまくってるからね
当然それを搭載したMacを欠陥と断罪するんだろうね?まさかそれをしないで逃げられるなんて思ってないだろうね?
さて、Apple信者がMacを徹底的にたたくのを楽しみにさせてもらうよ
ああ、あとマイナスモデは自由にするといいよ、スラドでもさすがにマイナスモデそのものが悪用されてることはみんな理解してるからね
Re: (スコア:0)
無関係なdisに持ってこうと余計なこと書くからマイナスモデもらうんだろうが、学習しろ。
AppleがMicrosoftやGoogleになっても同じことだ、学習しろ。
Re: (スコア:0)
ログイン専用キーなんてついてないじゃん
Re: (スコア:0)
記憶を持たず目の前の文章に対してツッコミらしき反応を見せるだけの生き物なの? それとも大勢の馬鹿が群がってきてるの?
MSがIBMに対して、当時のCTRL+ALT+DEL相当の強いハードウェア割り込みに紐付いた新たなキーを作ろう、と提案したけど断られた。
とりあえずCTRL+ALT+DELでWindowsNTを作って、定着した。
定着する前にもっと強く押し通しておけば良かったなぁ、とゲイツが言ってるというのがこのストーリー。
Re: (スコア:0)
Macでも当然採用されているQWERTYキーボードなんて
まさに過去の機器(物理的なタイプライター時代のアーム動作)の制限引きずりまくってるからね
そんなこと書いてるとyasuoka先生 [srad.jp]が来ちゃうぞ。
Re: (スコア:0)
もはや、最初のコメントの浅はかさそのものじゃん。
Re: (スコア:0)
ログインプロンプトが最優先事項って、もっとヤバイ脆弱性満載だっただろWindowsNT。
そういうチグハグな感覚がバカにされる要因なんだよな。
X-windowなんかでも、ログイン画面に似せたパスワード集めプログラムをユーザー権限で作れるけど、
そんな浅はかで悪意あるユーザーにも使わせる状況そのものがおかしいから、
対処の優先順位は低かった。
Re: (スコア:0)
いや、Windows様のお考えじゃない。
「高度なセキュリティが要求される場面で使えるOSの持つべき標準仕様」というようなのがあって、
そこに、「ログインを安全にする、ログイン前の特殊操作」も必須とされているだけ。
その仕様を満たしていないと、政府や企業が発注する「その標準仕様に準拠したOSを納入せよ」という案件やらで候補に挙がらなくなる。
まともなOSはどれも対応しているはず。WindowsNTもそれに従っただけ。
Re: (スコア:0)
なんだその多重伝聞や推測や利用環境限定なんかが入り交じった苦し紛れは。
Re: (スコア:0)
間違ってるかも知れないという推測に基づくツッコミ乙。
アメリカ政府が規定した、「Trusted Computer System Evaluation Criteria」とやらの
レベルB2以上で要求される「Trusted path for login」とやらかな。
もし、万が一、正しい知識を学びたいという気持ちを持っているんだったら、
細かくは「高信頼パス」でググれ。無ければ永遠にノイズを吐いとれ。
Re: (スコア:0)
どうしたらセキュリティ対策の優先順位の話になるのか理解できん。
Re: (スコア:0)
坊や、ctrl+alt+delはその昔pcの最優先割り込み発生機構だったんだよ。
最優先の機能を使うのは最優先で対策してますって言う暗黙の意思表示なんだ。
Re: (スコア:0)
いや、あらゆるユーザプログラムに邪魔されないよう、確実にOSが押されたことを検出して、ログイン画面を出せないと危ない。
ctr+alt+delにこの機能がついたのは割合最近の話でマイクロソフトがこの組み合わせを実用化したタイミングでは別の機能が振られていたような。
Re: (スコア:0)
ワークステーションが共用だったころ
ログイン画面っぽいものを表示しておいたらみんながパスワードを入力してくれたので
suっぽく子シェルを立ち上げてあげたらだれにも疑われずに情報収集がはかどってな
まれにメッセージを出すイースターエッグを仕込んだら管理者に相談がいったらしく
rootもログインしてたのでそこから無敵
WINDOWSも9xの時代は偽画面一枚でだませたんだけど、NTからカジュアルな方法は通じなくなった
そんな昔の思い出
Re:割り込み発生って (スコア:1)
例えを2つ出したら、分離して理解できなかったかな?
>共用PCならログオフやリブートでクリーンナップが当然
それは、ログインしてる人が、自分のアカウントかデータを攻撃されないようにやる行動。
問題の解決に必要な機能は「勝手な画面を表示した状態で席を立つことができない」。
>ましてやロックせずに離席な時点でお話になっていません
ロックもログオフもリブートもせずに席を立つのは、攻撃者。攻撃される側ではない。
「卑劣な攻撃者め、ロックせずに離席するなんてお話にもならないぞ」って、意味をなさないでしょ。
当たり屋に交通ルールを守れと言うようなもんだと分かります?
攻撃される側の視点から見ると、朝、会社に着いて、パソコンのマウスを操作してスクリーンセーバーを解除、
ログイン画面が表示されたのでパスワードを入力するだけ。
攻撃者は、それよりも早く出社して、自分のアカウントでログインして、偽パスワード画面アプリを起動して放置する。
クリーンナップ機能やらが有効に働く瞬間はどこにも無い。
>その例えって物理操作できる状況に悪意の第三者がいる状況じゃないですか
>ログイン画面が正常だからって何が安全だというんでしょう
そう。もちろん、パソコンそのものが入れ替えられてる、とか、まだまだ危険はあるので、
カメラ監視するなり、入退室時にパソコンが入りそうなでかい鞄を持っていないかチェックするなり、追加の対策は必要。
そして、その追加の対策が意味をなすのは、そこまで大げさな作業無しに、
攻撃が成立しうるという問題を解決してからの話。
Re: (スコア:0)
最後の部分だけ。
この話題に限らず、100%の対策でなければ意味がないみたいな反論は、基本無視していいと思う。
費用対効果とか、多重防御の概念がない人とセキュリティの話題で話をしても、会話が成り立たないので。
Re:割り込み発生って (スコア:1)
> この話題に限らず、100%の対策でなければ意味がないみたいな反論は、基本無視していいと思う。
それは宗教の典型的な手法だからね
Macなら安全、iOSなら安全、なぜ?というと「証拠もなくとにかくAppleがそう言ってるからだ」で押し切る
他社のまともなセキュリティと危険性のトレードオフの話はすべて否定しなきゃいけないので、他社には完璧論理想論を押し付ける
そこで成立するのは宗教性にまみれた「信者思考」だけなので必ずAppleが勝つことになる
だからアンチWindowsやアンチAndroidはそんな行動ばかりとるようになる
Re: (スコア:0)
あら、計算機科学史をご存じない若い方なんですかね。
セキュリティの概念は時代とともに変わっていますから、今の常識を当時の常識に当てはめるのは愚考ですよ。
Re: (スコア:0)
あら、計算機科学史をご存じない若い方なんですかね。
セキュリティの概念は時代とともに変わっていますから、今の常識を当時の常識に当てはめるのは愚考ですよ。
3284727のコメントは遥か過去からの時を超えたメッセージだったんですね!
Re: (スコア:0)
最初の設計時から今まで引きずってることについての話なんだから、スタート地点は昔の概念だってことぐらい理解しろ。
Re: (スコア:0)
あのー、このPCバッテリー抜けません。
それ以前に、本気で言ってるなら、今一番強靭なUSB Type-Cケーブル手元に用意しておいてくださいね。
Re: (スコア:0)
「そんな仕様」ってどのことを言ってるの?
コメントを読んでも妥当な対象が推測できないのですが…
Re: (スコア:0)
セクコンとかに出てる学生さんかな?