アカウント名:
パスワード:
電源の設定でスリープから復帰時にパスワードの入力を求めないようにすることができますよまともなところならそういう設定にはしないと思いますが…
発表読む限りだと、そのようにパスワード要求するように設定していたのに、休止状態にするとセキュリティーソフトがその設定を変更してパスワードなしでアンロックするようにしてしまったということのようですよ。
別の類似のセキュリティーソフトを使っていたことがありますが、Windowsのスクリーンセーバーの設定をユーザーが設定しても、ソフトが書き換えて常に一定時間後にロックして認証しないとアンロックできない設定に戻されていました。
この問題のソフトにも同様な強制上書き機能があって、休止の時にセキュリティーソフトの認証しないに設定すると、Windowsのスクリーンセーバー設定を間違って危険な方に上書きしちゃうのではないかと想像してます
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
脆弱性には以前から気がついてたんじゃないの? (スコア:5, すばらしい洞察)
Sophos Disk Encryptionをインストールすると常に復帰時の
Windowsの認証が効かなくなるってことでしょう?
だとるすと、Sophos Disk Encryptionを導入している企業はみんな
知ってたんじゃないかなと。
Sophos的にも「それは仕様です。(`・ω・´)キリッ」みたいな。
それとも、特定の複合条件(特定HW、OSパッチ等)を満たしたときにのみ
認証されないんでしょうか。 発表からは読み取れませんでしたが。
少なくとも、このPCを紛失したサイボウズの中の人やシステム管理者は復帰時に
認証されないことは知ってたと推測できますけど、どうなんでしょう。
「会社はパスワード設定しろとかウザいけど、なんか最近認証画面でないしラッキー」
ぐらいの甘い認識だったのではないでしょうか。
Re:脆弱性には以前から気がついてたんじゃないの? (スコア:0)
電源の設定でスリープから復帰時にパスワードの入力を求めないようにすることができますよ
まともなところならそういう設定にはしないと思いますが…
Re:脆弱性には以前から気がついてたんじゃないの? (スコア:5, 興味深い)
発表読む限りだと、そのようにパスワード要求するように設定していたのに、
休止状態にするとセキュリティーソフトがその設定を変更してパスワードなしでアンロックするようにしてしまったということのようですよ。
別の類似のセキュリティーソフトを使っていたことがありますが、
Windowsのスクリーンセーバーの設定をユーザーが設定しても、
ソフトが書き換えて常に一定時間後にロックして認証しないとアンロックできない設定に戻されていました。
この問題のソフトにも同様な強制上書き機能があって、
休止の時にセキュリティーソフトの認証しないに設定すると、
Windowsのスクリーンセーバー設定を間違って危険な方に上書きしちゃうのではないかと想像してます