パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

それでも「Passport」に登録しますか?」記事へのコメント

  • 今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?

    今回問題にされているのは、

    過去にこの手口が使われなかった理由はただ1つ、わざわざやってみるほどの 価値がないからだとギブソンは語る。
    しかし、Passportの登場によって、ログイン情報の魅力は

    • >これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
      クライアントにログインするための情報を読み出すことと、サーバーへログインするための情報を読み出すことを、一緒にしては行けません。
      比べるなら、ブラウザのクッキーに平文でパスワードが書かれていることの方がいいです。もっともMozillaでは、パスワードマネージャーに登録するかしないかを選択できるけど、この問題になっているのは強制的に保存されてしまうのが問題でしょうね。
      #IEは使ってないから、この辺りどうなっているか知りませんけど。
      親コメント

人生unstable -- あるハッカー

処理中...