アカウント名:
パスワード:
って、マジ?ASN.1のライブラリにバッフォードオーバフロー?
この頃の解説のページって妙に技術用語を避けて、一般向け表現とかになっているので、わかりづらくてしょうがないのですが、もしかして
『DERエンコーディングされたファイルに、バッファードオーバーフローするように、アンナコトやコンナコトを記述してやると、デコードする際にアンナコトやコンナコトが実行されてしまう』
ってコトですか? って、ホントにそう?私の解釈が間違っている?というか是非間違ってい
> SSLなページを開いた瞬間にハードディスクが初期化されたり 自己署名な証明書だったら警告が出る。
もっともSSLなサイトの方はアヤシイとこに近づかなきゃ、とりあえず、避けられそうですが、
> S/MINEなメールを受信した瞬間に内部ファイルを外にバラまいたり MUA の仕様にもよるけど、受信だけでは検証までしないから大丈夫だと思う。
S/MINEが実装されている MUA というと「有名」なOutlook Express がありますが、こいつが開く時点で解析しているのか、一覧する時点である程度解析しちゃっているのか、今のところわかりませんが、なにしろ、その道で「有名」なんで、どうでしょうねぇ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
バカヤローと叫びたい! (スコア:3, 興味深い)
って、マジ?ASN.1のライブラリにバッフォードオーバフロー?
この頃の解説のページって妙に技術用語を避けて、一般向け表現とかになっているので、わかりづらくてしょうがないのですが、もしかして
『DERエンコーディングされたファイルに、バッファードオーバーフローするように、アンナコトやコンナコトを記述してやると、デコードする際にアンナコトやコンナコトが実行されてしまう』
ってコトですか?
って、ホントにそう?私の解釈が間違っている?というか是非間違ってい
Re:バカヤローと叫びたい! (スコア:1)
自己署名な証明書だったら警告が出る。怪しいページが https だったら疑ってかかればいいことだよね。ちゃんとしたところのCAが署名したサーバ証明書が悪用されることはない、と思う。
> S/MINEなメールを受信した瞬間に内部ファイルを外にバラまいたり
MUA の仕様にもよるけど、受信だけでは検証までしないから大丈夫だと思う。受信したら自動で署名の検証をするようなツールがあるなら、可能性はある。
暗号化されてるメールは…微妙だなあ。
ファイアウォールで防げるとか、添付ファイルを開かなくていい、なんていう今までの防御法じゃダメという点は、企業の担当者にとっては頭がいたいことかもしれない。
Re:バカヤローと叫びたい! (スコア:2, 興味深い)
もっともSSLなサイトの方はアヤシイとこに近づかなきゃ、とりあえず、避けられそうですが、
S/MIMEの署名メールを送りつけられたら、開いた時点で、アウトでしょうね。S/MINEが実装されている MUA というと「有名」なOutlook Express がありますが、こいつが開く時点で解析しているのか、一覧する時点である程度解析しちゃっているのか、今のところわかりませんが、なにしろ、その道で「有名」なんで、どうでしょうねぇ。