アカウント名:
パスワード:
pcAnywhereはPC同士が直接接続して通信を行うため、エンコード技術や暗号化技術に関するソースコードを攻撃者が入手していれば、通信内容が読み取られる可能性がある。
今時暗号化技術なんて、仕様から実装から公開しまくって、四方八方から検証という名の査読を受けてようやく一人前、だと思っていたのですが、少なくともバージョン12.5以前のpcAnywhereについては、仕様や実装を開示されたら困るタイプの暗号化を使用していた、ということなんでしょうか。
なるほどSSLって危険極まりなかったんですね
つまり隠蔽してればSSL2.0を今でも使えたとかpcAnuwhereはSSL2.0並みの強度だと言いたいわけ?
>ええ、SSL2.0の脆弱性の問題で、設定からSSL2.0を無効にするように推奨された歴史を忘れましたか?
SSL 2.0って、ストリーム暗号が使われていましたっけ?で、それに起因する脆弱性はありました?
>SSL 2.0って、ストリーム暗号が使われていましたっけ?
失礼、選択肢の中のRC4だけはストリーム暗号でしたね。ただ、SSL2.0の問題は、ストリーム暗号ゆえの問題ではないと認識してましたが、違いましたっけ?
もしかして、ソースには秘密鍵が書いてあったのかもね、とのアナリストのコメント。http://www.computerworld.com/s/article/print/9223725 [computerworld.com]
そういう類のことなら、あってもおかしくないかも。ただ、秘密鍵だとして、それをインド政府だったかに開示する必要があったかは不明。
もしインド政府に秘密鍵を開示していたとしたら、別にソースが漏れていなくても危険な気がする。特にインドを信用しないわけじゃないけれど、常識的に考えるとかなりまずい状況だよな。
少なくとも開示先にとっては、pcAnywhereの暗号通信は丸裸も同然、って時点で危険きわまりないですね。
そもそも秘密鍵を開示したこと自体が秘密なはずなので、万が一漏洩したとしてもその事実を開示できないでしょうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
ソースコード漏洩=通信内容が漏洩? (スコア:0)
pcAnywhereはPC同士が直接接続して通信を行うため、エンコード技術や暗号化技術に関するソースコードを攻撃者が入手していれば、通信内容が読み取られる可能性がある。
今時暗号化技術なんて、仕様から実装から公開しまくって、四方八方から検証という名の査読を受けてようやく一人前、だと思っていたのですが、少なくともバージョン12.5以前のpcAnywhereについては、仕様や実装を開示されたら困るタイプの暗号化を使用していた、ということなんでしょうか。
Re:ソースコード漏洩=通信内容が漏洩? (スコア:5, 興味深い)
Re: (スコア:0)
なるほどSSLって危険極まりなかったんですね
Re:ソースコード漏洩=通信内容が漏洩? (スコア:5, 興味深い)
Re: (スコア:0)
つまり隠蔽してればSSL2.0を今でも使えたとかpcAnuwhereはSSL2.0並みの強度だと言いたいわけ?
Re: (スコア:0)
>ええ、SSL2.0の脆弱性の問題で、設定からSSL2.0を無効にするように推奨された歴史を忘れましたか?
SSL 2.0って、ストリーム暗号が使われていましたっけ?
で、それに起因する脆弱性はありました?
Re: (スコア:0)
>SSL 2.0って、ストリーム暗号が使われていましたっけ?
失礼、選択肢の中のRC4だけはストリーム暗号でしたね。
ただ、SSL2.0の問題は、ストリーム暗号ゆえの問題ではないと認識してましたが、違いましたっけ?
Re:ソースコード漏洩=通信内容が漏洩? (スコア:1)
鍵? (スコア:1)
もしかして、ソースには秘密鍵が書いてあったのかもね、とのアナリストのコメント。
http://www.computerworld.com/s/article/print/9223725 [computerworld.com]
そういう類のことなら、あってもおかしくないかも。
ただ、秘密鍵だとして、それをインド政府だったかに開示する必要があったかは不明。
Re: (スコア:0)
もしインド政府に秘密鍵を開示していたとしたら、別にソースが漏れていなくても危険な気がする。特にインドを信用しないわけじゃないけれど、常識的に考えるとかなりまずい状況だよな。
Re: (スコア:0)
少なくとも開示先にとっては、pcAnywhereの暗号通信は丸裸も同然、って時点で危険きわまりないですね。
そもそも秘密鍵を開示したこと自体が秘密なはずなので、万が一漏洩したとしてもその事実を開示できないでしょうし。