アカウント名:
パスワード:
今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
今回問題にされているのは、
過去にこの手口が使われなかった理由はただ1つ、わざわざやってみるほどの 価値がないからだとギブソンは語る。 しかし、Passportの登場によって、ログイン情報の魅力は
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
「穴がある」とは書かれていない (スコア:3, 興味深い)
今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
今回問題にされているのは、
Re:「穴がある」とは書かれていない (スコア:2)
>これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
ごく古いUnixならそうかもしれませんね。
現状、shadowなどの暗号化システムがあるので、たとえ/etc/passwdが読めても
脆弱性にはならないと思いますけど。
#shadowでの暗号化は一方向の暗号化であって、それからpasswordを
#再現するのはとんでもない計算量が必要なはずで、
#時間的に不可能だから。
#・・・と思うのですけど、記憶怪しいかもしれません(汗)。
#間違
---- redbrick
Re:「穴がある」とは書かれていない (スコア:0)
古い話はよく知らないのですが、
「ごく古い Unix」では /etc/passwd に Password が平文で
書かれていたのですか?
私が知る限り、Password は Scramble されていたと思います。
ただ、その Scramble された結果が、
誰でも読める /etc/passwd に書かれていたので、
Dictionary Attack や Brute Force Att
Re:「穴がある」とは書かれていない (スコア:1)
root,600,plain pass
root,644,scrambled pass
root,644,passフィールドなし、root,600な別ファイルにscrambled pass
みたいな流れだったかと。
まぁなんにせよ、今のところ、暗号化は安全を保障するものではないですからねぇ。
よく「読めない」といわれるLiberdade
Re:「穴がある」とは書かれていない (スコア:0)
という感じの時代もありました.
Re:「穴がある」とは書かれていない (スコア:2)
伏流のように、インターネットの底を流れ続けてますよね。
#anonymous ftp → napstar もそうかも。
-- wanna be the biggest dreamer