アカウント名:
パスワード:
パスワード付きzipを全面禁止って何か違う気がするんだが。暗号データと復号キーを同じ伝送経路で送るのが問題なんじゃないのか?
パスワードを口頭で通知してりゃ、暗号化zipでも意味あるだろ
暗号化zipのやり取りを続けるのは、スピア型攻撃に脆弱なままになってしまう。マルウェアが暗号化されて送られ、それをゲートウェイで検出できないから辞めようという話になっている。社会の為ではなく、自社を守るための施策だとご理解いただきたく。
拝承
そのストーリは中で議論されているとおり、パスワードの文字種がわかっている前提であったりかなり恣意的(宣伝目的)な内容なので、あまり筋がよくないようなどちらかというと、こちらの既知平文攻撃の方が現実的な攻撃方法かなhttps://apple.srad.jp/story/21/10/10/179209/ [apple.srad.jp]
暗号化zipはファイル名わかっちゃうから、拡張子からファイル先頭のマジックナンバー推定して攻撃できますね。
deflate圧縮されるし、暗号化時にランダムバイトを先頭につけて復号時に捨てるくらいのことはさすがのzipcryptoでもやってるのでそこまで単純ではない。
まぁそうなんですけど。
世の中にはメールの添付ファイルを自動的にPPAP化してくれるアプリとかサービスがあって、自動的にやってくれるから、パスワードメールが間髪いれずに同じ送信メールアドレス宛に送られてきます。
そういうアプリやサービスは捨てたり解約しましょう、ということでしょう。
間髪入れずに並送されなかったら、メールボックス内で生き別れになって不便じゃん?
パスワード付きzipを全面禁止って何か違う気がするんだが。
暗号化ファイルはウイルススキャンをすり抜けるんで難ありなんですよ要はアクセス制限で権限を管理する仕組みでないとセキュアな運用にできんのです
なので今回の発表の手法では保存先とパスワードを同一経路でお知らせっていう運用にしかならず全く意味がない
/*だがしかし権限設定したとしてもアクセス先はこちらですこのIDとパスワードでアクセスしてねというメールが届くようになる
要は一般人に制度決定や運用をさせてはいけないのよねぇまともな思考ができるのは逸般人ですので*/
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
なんか違う? (スコア:0)
パスワード付きzipを全面禁止って何か違う気がするんだが。
暗号データと復号キーを同じ伝送経路で送るのが問題なんじゃないのか?
パスワードを口頭で通知してりゃ、暗号化zipでも意味あるだろ
Re:なんか違う? (スコア:3, すばらしい洞察)
暗号化zipのやり取りを続けるのは、スピア型攻撃に脆弱なままになってしまう。
マルウェアが暗号化されて送られ、それをゲートウェイで検出できないから辞めようという話になっている。
社会の為ではなく、自社を守るための施策だとご理解いただきたく。
Re:なんか違う? (スコア:3, おもしろおかしい)
拝承
Re:なんか違う? (スコア:1)
Re: (スコア:0)
そのストーリは中で議論されているとおり、パスワードの文字種がわかっている前提であったりかなり恣意的(宣伝目的)な内容なので、あまり筋がよくないような
どちらかというと、こちらの既知平文攻撃の方が現実的な攻撃方法かな
https://apple.srad.jp/story/21/10/10/179209/ [apple.srad.jp]
Re: (スコア:0)
暗号化zipはファイル名わかっちゃうから、拡張子からファイル先頭のマジックナンバー推定して攻撃できますね。
Re: (スコア:0)
deflate圧縮されるし、暗号化時にランダムバイトを先頭につけて復号時に捨てるくらいのことはさすがのzipcryptoでもやってるのでそこまで単純ではない。
Re: (スコア:0)
まぁそうなんですけど。
世の中にはメールの添付ファイルを自動的にPPAP化してくれる
アプリとかサービスがあって、自動的にやってくれるから、
パスワードメールが間髪いれずに同じ送信メールアドレス宛に
送られてきます。
そういうアプリやサービスは捨てたり解約しましょう、という
ことでしょう。
Re: (スコア:0)
間髪入れずに並送されなかったら、
メールボックス内で生き別れになって不便じゃん?
Re: (スコア:0)
パスワード付きzipを全面禁止って何か違う気がするんだが。
暗号化ファイルはウイルススキャンをすり抜けるんで難ありなんですよ
要はアクセス制限で権限を管理する仕組みでないとセキュアな運用にできんのです
なので今回の発表の手法では
保存先とパスワードを同一経路でお知らせ
っていう運用にしかならず全く意味がない
/*
だがしかし権限設定したとしても
アクセス先はこちらです
このIDとパスワードでアクセスしてね
というメールが届くようになる
要は一般人に制度決定や運用をさせてはいけないのよねぇ
まともな思考ができるのは逸般人ですので
*/