きまぐれ日記: sudo のGUIダイアログはセキュリティ的に大丈夫なのか?
UbuntuやMac OSXを使っていると、権限の高いオペレーションを実行しようとしたときに、ユーザのパスワードを要求するダイアログが起動します。毎回ハイハイと思いつつ入力しているのですが、ふと考えるとこのセキュリティモデルというかユーザビリティー的に大丈夫なのかどうかと思うようになりました。 例えば、インストーラーでダミーのパスワードダイアログを表示させればマルウェア作者はユーザのパスワードを取り放題だし、OSのファイル保存ダイアログをクラックして、適当なファイル保存のタイミングで同ダイアログを出せば、無知なユーザはホイホイパスワードを入力してしまうのではないでしょうか。Webサイトのフィッシングと全く同じ話です。 このダイアログはそもそも CUIプログラム sudo のラッパーにすぎません。しかし、話はそんなに単純ではありません。CUIの場合は、ほとんどの操作が「能動的」なために、su
Stop Password Masking
Summary: Usability suffers when users type in passwords and the only feedback they get is a row of bullets. Typically, masking passwords doesn't even increase security, but it does cost you business due to login failures. It's time to show most passwords in clear text as users type them. Providing feedback and visualizing the system's status have always been among the most basic usability principl
クライアントの要望を満たすと、セキュリティ的に問題がある。どうしたらいい? | ブログが続かないわけ
受託開発で困る部分のひとつ。 1. ログインに失敗したときのメッセージ簡単な例を出してみよう。ID/Password を入力させるようなログイン画面で認証に失敗した場合、「ID またはPassword が正しくありません。」というようなメッセージを出すのが通例だ。当然システム側では、ID が間違っているのか、Password が間違っているのか区別することはできるのだが、親切に「ID が正しくありません。」とか「Password が正しくありません。」とかというようなメッセージは出さない方がいいとされている。これは親切なメッセージを出すと、悪意の第3者になりすましログインのヒントを与えてしまうことになるからだ。適当なID/Password でログインを試みて、親切にエラーメッセージが出し分けされると、その適当に入れたID が存在するID かどうかを判定できてしまう。ひとたびID が判定でき
「秘密の質問と答え」を再設定できない | Okumura's Blog
ペイリン副大統領候補のYahoo!アカウントがクラックされ,メールが暴露された。ここによれば,原因は「秘密の質問と答え」にあった。ペイリンさんは秘密の質問として「夫と出会ったところ」を設定していたが,答えはGoogleで検索すると簡単にわかったそうだ。これ以外に,生年月日や郵便番号も簡単に調べられて,クラッカーはペイリンさんのパスワードをリセットすることができた。 これは自分も危ないのではないか。ずいぶん昔のことなので覚えていないが,安易な「秘密の質問」を設定した可能性もある。変更するためのページを探したが,見つからない。ヘルプを調べたら,「設定後の確認や変更はできません」とのことだ。これは困った。さっそくYahoo!に苦情を書いた。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
