yebo blog: TLS 1.0に深刻な弱点が見付かる
2011/09/20 TLS 1.0に深刻な弱点が見付かる セキュリティ研究者のThai Duong氏とJuliano Rizzo氏は、TLS 1.0/SSL 3.0を使っているウェブサイトで、攻撃者にエンドユーザとウェブサイト間に流れるデータを気付かれずに復号化できるという深刻な弱点を発表するそうだ。今のところ、TLS 1.1や1.2は影響はないとのこと。今週、ブエノスアイレスで開催されるekopartyセキュリティ会議で、両氏はBEAST (Browser Exploit Against SSL/TLS)と呼ばれるコードでそのデモを行うそうだ(デモは23日)。Duong氏は、デモではPayPalアカウントにアクセスするために使われる認証用のcookieを復号化すると語っている。このBEASTは、標的となるブラウザにBEASTのクライアント側のJavaScriptコードを埋め込み、中間(
yebo blog: Mac OS X Lionはパスワードクラックが簡単
2011/09/20 Mac OS X Lionはパスワードクラックが簡単 セキュリティスペシャリストのパトリック・ダンスタン氏が、Mac OS X 10.7 "Lion" は一般ユーザでも他ユーザのパスワードハッシュに容易にアクセスできると報告している。Mac OS XではユーザのパスワードはSHA512と4バイトのソルトでハッシュ化されて保存され、rootからしかアクセスできないようshadow化される。ところが、Lionでは認証の手続きを変更してしまったため、一般ユーザでもディレクトリサービス経由で("dscl localhost -read /Search/User/user_name")、shadowファイルからパスワードのハッシュを読むことができるそうだ。ハッシュコードからパスワードに変換することはできないが、ブルートフォース攻撃でハッシュと比較するだけでパスワードが解読可能に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
