パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

それでも「Passport」に登録しますか?」記事へのコメント

  • 今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?

    今回問題にされているのは、

    過去にこの手口が使われなかった理由はただ1つ、わざわざやってみるほどの 価値がないからだとギブソンは語る。
    しかし、Passportの登場によって、ログイン情報の魅力は

    • ちょっとツッコミ。

      >これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?

      ごく古いUnixならそうかもしれませんね。
      現状、shadowなどの暗号化システムがあるので、たとえ/etc/passwdが読めても
      脆弱性にはならないと思いますけど。
      #shadowでの暗号化は一方向の暗号化であって、それからpasswordを
      #再現するのはとんでもない計算量が必要なはずで、
      #時間的に不可能だから。
      #・・・と思うのですけど、記憶怪しいかもしれません(汗)。
      #間違
      --
      ---- redbrick
      • 私が Unix を使い始めたのはここ 10 年くらいなので
        古い話はよく知らないのですが、
        「ごく古い Unix」では /etc/passwd に Password が平文で
        書かれていたのですか?
        私が知る限り、Password は Scramble されていたと思います。

        ただ、その Scramble された結果が、
        誰でも読める /etc/passwd に書かれていたので、
        Dictionary Attack や Brute Force Att
        • 私も話でしか知らない部分ですが、/etc/passwdは、

          root,600,plain pass

          root,644,scrambled pass

          root,644,passフィールドなし、root,600な別ファイルにscrambled pass

          みたいな流れだったかと。

          まぁなんにせよ、今のところ、暗号化は安全を保障するものではないですからねぇ。
          --
          よく「読めない」といわれるLiberdade
          • by Nowake (5100) on 2001年12月23日 10時56分 (#49237)
            ユーザーが走らせたプログラムでパスワードファイルの中身は取れない、
            と言うことでいいんですよね?

            そういや、unixでも「suコマンドか何かに擬態して、管理者権限に 移行するときにパスワードを盗み取る」プログラムとかあったらしいですね。
            #./をpathに入れるなとさんざん怒られた記憶があります。
            親コメント

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...