アカウント名:
パスワード:
たとえば、Firefoxに初めてASLRを実装した際、多くのアンチウイルスベンダーがFirefoxのプロセスにASLRを無効化したDLLをインジェクトして台無しにしたという。また、アンチウイルスソフトウェアはFirefoxのアップデートを何度もブロックしており、開発者はアンチウイルスに起因する問題に対処するために多くの時間を無駄にしていると述べている。
ほんこれ。
殆どがやってるし、あえてどことは名言しないが、いわゆる『オンラインバンキング保護』とかいうクソみたいな機能や、オンラインバンキング単機能の製品。どこも『セーフブラウザ』だかなんだかいう、わけわからんブラウザでセッションを乗っ取ることで『オンラインバンキング保護』しているが、これが使い物にならない。一見プライベートモードのように見えるが、裏でわけわからんことやってるらしく、送金処理の途中でいきなりクラッシュしたり、『応答なし』になったりする。普通にプライベートモードやシークレットモードを使った方が遥かにマシ。
どこぞのマルウェア配信サイトよろしく、RapportだのPhishWallだのといったクソを執拗にインストールさせようとするのは止めろ。要らねえって言ってんだろ。銀行各社はRobert O'Callahanの主張を百回読んで学習すべき。おまえらのやっていることは百害あって一理なし。
そもそも各社が各社とも十人十色のオンラインバンキング専用保護アプリを勧めているので、もはや本当のマルウェアとの見分けがつかない。オンラインバンキング保護を謳ったマルウェアが猛威を奮うのは時間の問題。
総合Anti-Virus売ってる会社も不要なことやりすぎ。Microsoft見習って、余計な機能は全部外せ。排気ファンがプラズマクラスター吐いてくる某社のノートPCなみに不要な機能つけまくってんぞ。
SSL証明書を勝手に置き換えて安全だといいはるからなぁ・・・(カスペルスキーとか
カスペルスキーのは書き換えとは言わないのでは?
ESETもやりだしたよ
ソフトの問題とは違うけど、セキュリティと言えば類推できる合言葉要求してくるのも質が悪いと思う。好きな食べ物とかペットの名前とかいかんでしょ。自分はそれもパスワード状態にしてるけど。
だからそれセキュリティじゃなくてユーザビリティ機能(パスワード忘れた時に再発行で複雑な手順を極力減らす)だから。「ノーガードは論外だが、総合コスト的に多少安全性は低くなってもこれくらい安くなってほしい(期待)」ってためのものだから。あれをセキュリティ機能と思っちゃだめなの。判断を間違うの。
結局のところ最大の防御手段がファイル名や中身のパターンマッチなんですよね。とにかくパソコンのディスクやメモリ上のあらゆる文字列をデータベースと適合するかどうか調べるしかない。やってることはキーロガーと全く同じなのが興味深いところです(実際に別のアンチウイルスではウイルス判定される)。ASLRなんかは所詮、ウイルスの攻撃範囲を狭めるだけで完全に防御できる手段じゃないんだからそれこそ無駄では。ゼロデイ攻撃は誰にも防げないのであきらめましょう。
この話の前提になってるASLRの実装の話って、バッファーオーバーフローを利用したROP [wikipedia.org]を使った攻撃とかの対策なんでしょ?ゼロディ攻撃があっても入り口の一つをある程度は塞げるんだから、無駄でもないんじゃないの?
>ASLRなんかは所詮、ウイルスの攻撃範囲を狭めるだけで完全に防御できる手段じゃないんだからそれこそ無駄では。
さっそく出たよ「100点じゃないなら99点でも0点と同じ」のゴミ
ビヘイビアなんたらとかいい加減無駄だと認識して研究するのやめたらいいのにね…
名言してよ
名言じゃなくて言明だよな
明言でもあってるぞ
どうせなら民明しよう
Rapportは悪い話しか聞かない。自分も入れてみたことあるがウイルスだろこれ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
それな (スコア:2, 興味深い)
たとえば、Firefoxに初めてASLRを実装した際、多くのアンチウイルスベンダーがFirefoxのプロセスにASLRを無効化したDLLをインジェクトして台無しにしたという。また、アンチウイルスソフトウェアはFirefoxのアップデートを何度もブロックしており、開発者はアンチウイルスに起因する問題に対処するために多くの時間を無駄にしていると述べている。
ほんこれ。
殆どがやってるし、あえてどことは名言しないが、いわゆる『オンラインバンキング保護』とかいうクソみたいな機能や、オンラインバンキング単機能の製品。
どこも『セーフブラウザ』だかなんだかいう、わけわからんブラウザでセッションを乗っ取ることで『オンラインバンキング保護』しているが、これが使い物にならない。
一見プライベートモードのように見えるが、裏でわけわからんことやってるらしく、送金処理の途中でいきなりクラッシュしたり、『応答なし』になったりする。
普通にプライベートモードやシークレットモードを使った方が遥かにマシ。
どこぞのマルウェア配信サイトよろしく、RapportだのPhishWallだのといったクソを執拗にインストールさせようとするのは止めろ。要らねえって言ってんだろ。
銀行各社はRobert O'Callahanの主張を百回読んで学習すべき。
おまえらのやっていることは百害あって一理なし。
そもそも各社が各社とも十人十色のオンラインバンキング専用保護アプリを勧めているので、もはや本当のマルウェアとの見分けがつかない。
オンラインバンキング保護を謳ったマルウェアが猛威を奮うのは時間の問題。
総合Anti-Virus売ってる会社も不要なことやりすぎ。
Microsoft見習って、余計な機能は全部外せ。
排気ファンがプラズマクラスター吐いてくる某社のノートPCなみに不要な機能つけまくってんぞ。
Re: (スコア:0)
SSL証明書を勝手に置き換えて安全だといいはるからなぁ・・・(カスペルスキーとか
Re: (スコア:0)
カスペルスキーのは書き換えとは言わないのでは?
Re: (スコア:0)
ESETもやりだしたよ
Re: (スコア:0)
ソフトの問題とは違うけど、セキュリティと言えば類推できる合言葉要求してくるのも質が悪いと思う。
好きな食べ物とかペットの名前とかいかんでしょ。自分はそれもパスワード状態にしてるけど。
Re: (スコア:0)
だからそれセキュリティじゃなくてユーザビリティ機能(パスワード忘れた時に再発行で複雑な手順を極力減らす)だから。
「ノーガードは論外だが、総合コスト的に多少安全性は低くなってもこれくらい安くなってほしい(期待)」ってためのものだから。
あれをセキュリティ機能と思っちゃだめなの。判断を間違うの。
Re: (スコア:0)
結局のところ最大の防御手段がファイル名や中身のパターンマッチなんですよね。
とにかくパソコンのディスクやメモリ上のあらゆる文字列をデータベースと適合するかどうか調べるしかない。
やってることはキーロガーと全く同じなのが興味深いところです(実際に別のアンチウイルスではウイルス判定される)。
ASLRなんかは所詮、ウイルスの攻撃範囲を狭めるだけで完全に防御できる手段じゃないんだからそれこそ無駄では。
ゼロデイ攻撃は誰にも防げないのであきらめましょう。
Re: (スコア:0)
この話の前提になってるASLRの実装の話って、バッファーオーバーフローを利用したROP [wikipedia.org]を使った攻撃とかの対策なんでしょ?
ゼロディ攻撃があっても入り口の一つをある程度は塞げるんだから、無駄でもないんじゃないの?
Re: (スコア:0)
>ASLRなんかは所詮、ウイルスの攻撃範囲を狭めるだけで完全に防御できる手段じゃないんだからそれこそ無駄では。
さっそく出たよ「100点じゃないなら99点でも0点と同じ」のゴミ
Re: (スコア:0)
ビヘイビアなんたらとかいい加減無駄だと認識して研究するのやめたらいいのにね…
Re: (スコア:0)
名言してよ
Re: (スコア:0)
名言じゃなくて言明だよな
Re: (スコア:0)
明言でもあってるぞ
Re: (スコア:0)
どうせなら民明しよう
Re: (スコア:0)
Rapportは悪い話しか聞かない。自分も入れてみたことあるがウイルスだろこれ。