アカウント名:
パスワード:
バグありの場合、公開鍵認証を使ったなりすましは防げない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
他のOSの利用者も安心できない (スコア:5, すばらしい洞察)
Re:他のOSの利用者も安心できない (スコア:2, 参考になる)
(朝出る前に急ぎで書いたので、ちょっとわかりづらい表現になってしまっているかも。改善案求む)
Re: (スコア:0)
# 自分の鍵はsarge時代のだったけどAC
Re: (スコア:0)
・パスワード認証しか使っていなかった場合はとくに影響は受けない。
とりあえずアップデートしておく
・結局、アカウント名とパスワードがバレない限り大丈夫。
ただし、バグありの場合、公開鍵認証を使ったなりすましは防げない
アップデート、鍵の作り直し
Re: (スコア:0)
元の文脈ではサーバがバグなしでも問題があるよって話なので、脆弱な公開鍵がサーバに 登録されていると、そのアカウントになりすまされて侵入されちゃうよってことでOK?
SSHのこと分かっていないのでこれが一般的なしくみか分からないのですが、DebianのSSHサーバは 脆弱な鍵のブラックリストを持っていて今回問題になった脆弱なユーザ鍵でアクセスしようとしても 拒否するようになったようです。
他のOS用にも用意してくれよぅ... 今回authorized_keysを全チェックしても、将来ユーザが脆弱な 鍵を登録する危険性を排除できないわけで。