SSブログ

APOP にパスワード漏洩の脆弱性 [トラブル/セキュリティ]

http://slashdot.jp/security/07/04/19/0137200.shtml
APOP サーバーになりすまさないといけないので、すぐさま脅威にはなりにくいのですが、特定の実装でなく、プロトコルの脆弱性という点で僕にはちょっとショックな出来事です。

以前、ハッシュのコリジョンが発見されるのが、そんなに脅威?って書きましたけど、
http://blog.so-net.ne.jp/nakagami/2005-04-07
# リンク先が無くなってるけど ↓ここらへんの話
http://www.atmarkit.co.jp/fsecurity/rensai/crypt01/crypt01.html
それが、現実的な脅威だってことが2年の歳月を経てようやくわかってきました。
セキュリティって難しいです。


nice!(0)  コメント(2)  トラックバック(1) 
共通テーマ:パソコン・インターネット

nice! 0

コメント 2

uncorrelated

APOPでパスワードを暗号化するときのメッセージIDは、確か時刻とか特定パターンになっているので、不正サーバーからのメッセージ受け取りをチェックできるかも知れませんね。逆に特定パターンだけに、生成される写像が絞られるのかも知れませんが。
これを機にSSLを使うISPが増えるかも知れません。
by uncorrelated (2007-04-19 19:24) 

nakagami

>不正サーバーからのメッセージ受け取りをチェックできるかも知れませんね。
奥村先生曰く
http://oku.edu.mie-u.ac.jp/~okumura/blog/node/1413
バイナリのチャレンジを送ってきたら怪しい!って感じで
US-ASCII じゃなかったら偽者って判定してやればとりあえずは良さそうですね。
by nakagami (2007-04-19 20:58) 

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

Facebook コメント

トラックバック 1