パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

それでも「Passport」に登録しますか?」記事へのコメント

  • 今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?

    今回問題にされているのは、

    過去にこの手口が使われなかった理由はただ1つ、わざわざやってみるほどの 価値がないからだとギブソンは語る。
    しかし、Passportの登場によって、ログイン情報の魅力は

    • ちょっとツッコミ。

      >これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?

      ごく古いUnixならそうかもしれませんね。
      現状、shadowなどの暗号化システムがあるので、たとえ/etc/passwdが読めても
      脆弱性にはならないと思いますけど。
      #shadowでの暗号化は一方向の暗号化であって、それからpasswordを
      #再現するのはとんでもない計算量が必要なはずで、
      #時間的に不可能だから。
      #・・・と思うのですけど、記憶怪しいかもしれません(汗)。
      #間違
      --
      ---- redbrick

アレゲは一日にしてならず -- アレゲ研究家

処理中...