パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mac OS X stores login/Keychain/FileVault passwords on disk」記事へのコメント

  • by chiba-f (6867) on 2004年07月13日 8時27分 (#588067)
    似たような話として,以下の記事がありました:
    『TaintBochsの研究がOSメモリの永続性に注目』 [linux.com]
    「Rosenblumによれば、この問題とは、現代のOSには、機密データの寿命を制限する組み込みのメカニズムがないことだという。この結果、システムメモリ内に移動されたパスワードやその他の機密データが、ハードディスク上の特定の領域にスワップされ、数年間(ユーザーがこのハードディスクを処分したり、売ったり、交換したり、捨てたりすることになったときまで)残ってしまう可能性がある。」

    Mac OS Xの件ですが,メモリーを潤沢に積んでいる時,以下のコマンドを実行すると,
    [G3:~] chibaf% pstat -s
    swapmode is not (yet) available under Mach

    とメッセージを返すのですが,実際にはデフォルトでは起動時に/var/vm/swapfile0を作っています.しかし,ls -l で見ると,起動時に作るだけで,読み書きはしていないようにも思われます.(ちゃんとOS Xの勉強をしていないので,アレですが.)
    [G3:/var/vm] chibaf% ls -l
    total 156256
    drwx--x--x 10 root wheel 340 Jun 8 21:45 app_profile
    -rw------T 1 root wheel 80000000 Jul 13 07:16 swapfile0
    [G3:/var/vm] chibaf% w
    8:11AM up 55 mins, 2 users, load averages: 0.25, 0.31, 0.40
    USER TTY FROM LOGIN@ IDLE WHAT
    chibaf co - 7:17AM 54 -
    chibaf p1 - 8:05AM 0 -
    • by chiba-f (6867) on 2004年07月13日 9時07分 (#588076)
      それから….
      sudo strings -8 /var/vm/swapfile0 |grep -A 4 -i longname
      は試してみましたが,平文でパスワードは出なかったです.ユーザー名6文字.もっと長い名前のアカウントはめんどくさいので作りませんでした^^;
      swapfile0は結構いろんなものが入ってますね^^;.
      親コメント
      • by zaucer (13280) on 2004年07月14日 0時07分 (#588620) 日記
        > は試してみましたが,平文でパスワード

        出た……orz
        ちなみに swapfile1 もありました。memory は 1GBytes
        # swap するような作業をした心あたりはあったりする

        昔、ノートPC でハイバネーションした残骸にも自分のパスワードを見た記憶があるので id (?)
        親コメント
        • by chiba-f (6867) on 2004年07月14日 7時36分 (#588726)
          こちらは実メモリー=640MBのibook G4です.設定は特にいじってません.今回は試しませんでしたが,UNIX系の大きなアプリケーションを1つ,./configure & makeすると,メモリーをほとんど使うと言うことがあります.Mac OS Xはメモリーの消費が多いように思います.ひとによっては,実メモリー=1GBでも足りないと言うのはありうると思います.「普通」に使っている時はswapfile1は当方ではできません.
          親コメント
          • by chiba-f (6867) on 2004年07月14日 7時55分 (#588732)
            [訂正]
            >「普通」に
            と,括弧を意味もなく付けてしまいました.特別な意味はありません.
            親コメント
          • by zaucer (13280) on 2004年07月14日 21時38分 (#589354) 日記
            心あたりのある作業、ってのは B5 な雑誌を 100枚ほどスキャンした、というものです。ほかにポジフィルムのスキャンもぼちぼち。

            ちなみに、

            > UNIX系の大きなアプリケーションを1つ

            といわれて、ふと、そーいや最近 Carbon Emacs つくりなおしたな、と思って再起動した上で make bootstrap してたんですが、大丈夫でした。
            またスキャンするだけ雑誌が溜ったら試してみます

            なんてやっているうちに表にストーリーが orz
            親コメント
            • あ、どうも情報ありがとうございます。

              なんてやっているうちに表にストーリーが orz

              いろいろ情報が集まってきましたので、ここにうもれさせておくのも もったいないような気がして掲載してしまいましたです。そちらの方もよろしくお願いいたします。m(__)m

              親コメント
            • by chiba-f (6867) on 2004年07月15日 11時51分 (#589836)
              済みません.自分の投稿で,実メモリーとかメモリーとか混ぜて書いてしまいましたが,全て実メモリーとしてください.
              ちゃんとメモしておけば良かったです.実メモリーを食うのはGNU Octave, GCC(途中で Makeなげた)とかのMakeだったと思います.計測はtopコマンド.
              現在,1024MBの実メモリーを積んだeMacをOS X10.3.4で動かしてます.Finder, Camino(Mozilla系ブラウザ), Mail, 英辞郎ビューア, ターミナルがDockで見えます.それからターミナルでtopコマンド.他はデフォルトで起動されるプロセスだと思います(含Classic環境,ファイヤーウォール).(自信無し)この状態でtopコマンドは以下の表示です.

              PhysMem: 72.8M wired, 147M active, 209M inactive, 429M used, 594M free
              VM: 4.52G + 81.1M

              普段はこんな感じです.
              親コメント
              • by zaucer (13280) on 2004年07月16日 0時02分 (#590500) 日記
                > VM: 4.52G + 81.1M

                惜しい。その行の pageouts を見ないと swap しているかわかんないですよ。
                あと、ls -ul /var/vm で swapfile? が更新された時刻がわかります。

                スキャンしなおし、ってのはめんどうなので PhotoshopElements で 70MB くらいの .PSD をどんどん開いていきながら並行して適当なプログラムを起動したり終了したり、ってのをやってみましたが、確かに再現しないこともあるようですね。3回やって 3回目は password を見ることができませんでした。
                親コメント
              • by chiba-f (6867) on 2004年07月16日 21時36分 (#591081)
                惜しい。その行の pageouts を見ないと swap しているかわかんないですよ。
                あと、ls -ul /var/vm で swapfile? が更新された時刻がわかります。

                げげっ,よくわかんないで使っているのがバレバレ.

                手もとにeMacが今はないので,768MBの実メモリーを積んだG3/DTをOS X10.2.8で動かして試してます.Finder, Camino(Mozilla系ブラウザ), Mail, 英辞郎ビューア, ターミナルがDockで見えます.それからターミナルでtopコマンド.他はデフォルトで起動されるプロセスだと思います(含Classic環境,ファイヤーウォール).(自信無し)この状態でtopコマンドは以下の表示です:
                PhysMem: 50.0M wired, 105M active, 226M inactive, 381M used, 387M free
                VM: 3.16G + 67.0M 11127(0) pageins, 0(0) pageouts
                pstat -sが以下:
                [G3:~] chibaf% pstat -s
                swapmode is not (yet) available under Mach
                wコマンド:
                [G3:~] chibaf% w
                9:29PM up 43 mins, 2 users, load averages: 0.65, 0.70, 0.69
                USER TTY FROM LOGIN@ IDLE WHAT
                chibaf co - 8:46PM 42 -
                chibaf p1 - 9:19PM 0 -
                ls -l /var/vm/swap*が以下:
                l[G3:~] chibaf% ls -l /var/vm/swap*
                -rw------T 1 root wheel 80000000 Jul 16 20:46 /var/vm/swapfile0
                親コメント
              • by zaucer (13280) on 2004年07月16日 23時26分 (#591173) 日記
                swap はしてないですね。

                あと強調かなんかしとけばよかったんですが、ls に option u(l と併用)で最後にアクセス(しまった、さきのコメントでの「更新」はまちがいです X-)された時間が表示されます。

                と、いうわけで「再現」させたときの状況はこんな感じです……またパスワード見ちゃったよ orz

                % ls -l /var/vm/s*
                -rw------T 1 root wheel 67108864 16 Jul 22:26 /var/vm/swapfile0
                -rw------T 1 root wheel 67108864 16 Jul 22:48 /var/vm/swapfile1
                -rw------T 1 root wheel 134217728 16 Jul 22:49 /var/vm/swapfile2
                -rw------T 1 root wheel 268435456 16 Jul 22:54 /var/vm/swapfile3
                % ls -ul /var/vm/s*
                -rw------T 1 root wheel 67108864 16 Jul 23:12 /var/vm/swapfile0
                -rw------T 1 root wheel 67108864 16 Jul 23:12 /var/vm/swapfile1
                -rw------T 1 root wheel 134217728 16 Jul 23:12 /var/vm/swapfile2
                -rw------T 1 root wheel 268435456 16 Jul 23:12 /var/vm/swapfile3
                %

                top のほうは

                PhysMem: 82.8M wired, 515M active, 413M inactive, 1011M used, 13.0M free
                VM: 4.72G + 81.9M 211523(0) pageins, 58809(3049) pageouts

                こんな感じ。
                親コメント
    • 似たような話として,以下の記事がありました:
      『TaintBochsの研究がOSメモリの永続性に注目』 [linux.com]

      なるほど、参考になります。MacSlashのストーリー [macslash.org]についているコメントによると、こういうデータをあつかうときはmlockでスワップアウトしないようにするのが正しいらしいです。

      うーん、だれか詳しい人がタレコんでくれないかしらん。

      親コメント

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...