アカウント名:
パスワード:
たいとるおんりー
外部からのメモリスキャンを許してる時点で、やりたい放題されているも同然なわけで、対応することで別のリスクが存在するのであればそりゃあ無視されるだろうとしか……。
パスワード管理ソフトの中身を抜くことができると「そのマシンに対してやりたい放題」から「管理ソフトに保存されてるアカウントなどにもやりたい放題」に被害レベルが上がるよ。
あと、画面に表示したりする以上はメモリ上に平文のパスワードが存在することを完全に避けるのは難しい。このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。「マスターパスワードを復号鍵の一部として使うようにしろよ」ってことだろうね。そうすれば「そのマシンにやりたい放題になってもマスターパスワードがわからないと管理ソフトの情報にはアクセスできない」となるから。
まあデスクトップにマスターパスワードを書いたテキストファイルを置いてる人には同じことだけど。
他アプリのメモリをスキャンできる以上は管理者権限相当でその悪意あるソフトは動いているわけで、そうであれば「管理ソフトに保存されてるアカウントなどにもやりたい放題」なんてもんじゃなくキーロガー仕込まれてやりたい放題とかそのレベルの話になる変な話、パスワード管理ツールで管理してないのも漏れる。管理ツールから漏れて攻撃者にラッキーなのは、サービスとアカウントを一括取得できるというところ。これは確かにデカいが、マスタパスワードはそこそこの頻度で入力するだろうからキーロガーでも取得できる結局のところ管理ツールに脆弱性がなくても、メモリスキャンされるような状況なら一網打尽にされるテキストファイルおいてりゃ同じ、ではない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
メモリスキャンされてる時点で詰んでるのでは…… (スコア:2)
たいとるおんりー
外部からのメモリスキャンを許してる時点で、やりたい放題されているも同然なわけで、対応することで別のリスクが存在するのであればそりゃあ無視されるだろうとしか……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:2)
パスワード管理ソフトの中身を抜くことができると「そのマシンに対してやりたい放題」から「管理ソフトに保存されてるアカウントなどにもやりたい放題」に被害レベルが上がるよ。
あと、画面に表示したりする以上はメモリ上に平文のパスワードが存在することを完全に避けるのは難しい。
このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。
「マスターパスワードを復号鍵の一部として使うようにしろよ」ってことだろうね。
そうすれば「そのマシンにやりたい放題になってもマスターパスワードがわからないと管理ソフトの情報にはアクセスできない」となるから。
まあデスクトップにマスターパスワードを書いたテキストファイルを置いてる人には同じことだけど。
うじゃうじゃ
Re: (スコア:0)
他アプリのメモリをスキャンできる以上は管理者権限相当でその悪意あるソフトは動いているわけで、
そうであれば「管理ソフトに保存されてるアカウントなどにもやりたい放題」なんてもんじゃなく
キーロガー仕込まれてやりたい放題とかそのレベルの話になる
変な話、パスワード管理ツールで管理してないのも漏れる。
管理ツールから漏れて攻撃者にラッキーなのは、サービスとアカウントを一括取得できるというところ。
これは確かにデカいが、マスタパスワードはそこそこの頻度で入力するだろうからキーロガーでも取得できる
結局のところ管理ツールに脆弱性がなくても、メモリスキャンされるような状況なら一網打尽にされる
テキストファイルおいてりゃ同じ、ではない
Re: (スコア:0)
#後苦労様
Re:メモリスキャンされてる時点で詰んでるのでは…… (スコア:0)