パスワード管理ツール「1Password」に脆弱性? 20
ストーリー by hylom
仕様だけど修正予定 部門より
仕様だけど修正予定 部門より
あるAnonymous Coward 曰く、
著名パスワード管理ツール「1Password」に脆弱性があるのではないかという話が出ている(GIGAZINE)。
状況についてはやや分かりにくいが、1Passwordで管理しているサイト情報が平文でファイル内に保存されており、ユーザーが1Passwordでどのサービスのパスワードを管理しているかが見えてします状況になっているそうだ。また、限定された状況下では1Passwordで管理しているサービスのパスワードを変更できてしまう可能性もあるという。
サイト情報を平文で保存するのは1Passwordの仕様とのことで、この問題はすぐには修正されないようだ。
なお、これに対し1Passwordを開発するAgileBitsはブログでこの問題について説明した。これによると互換性のためにサイト情報を平文で保存しているとのことで、サイト情報を暗号化して保存するフォーマットはすでに開発済みで将来的にはそちらのフォーマットへの自動移行が計画されているという(携帯総合研究所)。
ゴミ感想: なんかもう用語の範囲が広過ぎてわかんなくなってるな (スコア:1, 興味深い)
「脆弱性」なんて曖昧な表現使うからか。
超危険な問題もたいしたことないような問題も同じ「脆弱性」でくくるからいかんのか。
今回みたいな「脆くて弱い」「仕様」も脆弱性なのか。
もう少し危険度とかに応じた適切な表現はないものか。
Re:ゴミ感想: なんかもう用語の範囲が広過ぎてわかんなくなってるな (スコア:1)
このコメントは興味深い。一般に語彙の豊富さは文化の深度と相関関係にある。
#2904026は「脆弱性」の細かい違いを別単語に分類する必要を感じているわけだ。
これは「脆弱性」を扱う文化が深度を増してきたと捉えることができるのではないだろうか。
Re: (スコア:0)
それだと相関関係だけでなく、因果関係を認めることになるよ。
Re: (スコア:0)
因果関係までは無理じゃないかと私は思うのですが、好学の為
どのような因果関係が認められるか書いてみてもらえませんか?
Re: (スコア:0)
×好学
Re: (スコア:0)
こういった場面で使う「こうがく」には向学後学好学どれもあって、微妙に意味が違います。
学ぶという行為に対する文化の一例ですね。
Re: (スコア:0)
「好学」は文字通り学ぶことを好むという意味で
「こうがく」の為に~して欲しい というような用途では使われないと思いますが
Re: (スコア:0)
#2904115 ではないですが、
指摘されているのは因果関係と相関関係の違いなので聞き返すなら、
語彙を増やせば文化が深まる事をあなたが示す必要があるような。
相関関係なのであれば、語彙を減らせば文化は浅く?なり、語彙を増やせば文化は深くなるってことですよね?
元の指摘は「因果関係が認められる」ことを主張しているのではなくて、あなたが言うように「もしも文化が深度を増してきたら、新しい語彙が必要になる」のだったとしても語彙の増減の方も文化の深度に影響を与えるとは思えないからそれは相関関係でなく因果関係ではないかと主張しているだけかと。
Re:ゴミ感想: なんかもう用語の範囲が広過ぎてわかんなくなってるな (スコア:1)
一応 Common Criteria というセキュリティの国際規格があります。
資料がIPAから公開されています。 http://www.ipa.go.jp/security/jisec/cc/ [ipa.go.jp]
真面目に分類しようとすると「セキュリティとは何ぞや」という話からしなければならず、
とてもめんどくさいことになります。
他には microsoft の「悪用可能性指標」「セキュリティ情報の深刻度評価システム」あたりがあります。
https://technet.microsoft.com/ja-jp/security/cc998259.aspx [microsoft.com]
https://technet.microsoft.com/ja-jp/security/gg309177.aspx [microsoft.com]
ヤバさはわかりやすいですが、具体的に何がどうなるのかわかりにくくなります。
Re: (スコア:0)
平文は単に晒してるだけですしねぇ。。
暴露かなぁ。。
exploit求む (スコア:1)
はいろむさんは、すらどの脆弱性です。
この問題も数年放置されていて、すぐには修正されないようです
Re: (スコア:0)
仕様です
Re: (スコア:0)
片手落ち (スコア:0)
メタデータとはいえ暗号化していないのは片手落ちだよなぁ
パフォーマンスを理由にしているけど
利用者はたとえパフォーマンスが劣っていようがデータが暗号化されていることを望むだろうし
Re:片手落ち (スコア:1)
いや、一般ユーザーは暗号化よりパフォーマンス優先かと。
セキュリティを気にする人はすべて暗号化して欲しいだろうけど、それはユーザーの中でもマイノリティ。残念ながら。
世の中の多くの人はセキュリティを気にしてない。気にしたいけど何をすればいいのかわからない、というのが現実。
2008年に作ったマルチプラットフォーム対応するためのフォーマットということで、特にiPhoneだとまだ3Gとか3GSあたりのかなり処理能力の低いデバイスだったから、この決断もしょうがないかなとは思う。
最近は十分な処理能力はあるし、というかもう少し早く強制実装しても良かったんじゃないかな、とは思う。
新しいフォーマット作ったあたりで。
Re:片手落ち (スコア:1)
>利用者はたとえパフォーマンスが劣っていようがデータが暗号化されていることを望むだろうし
パスワード認証系で、パスワードに複雑さを求めたり不定期に変更させたり複数認証させたりするのって全部「パフォーマンス」は悪化するけどそれは安全を優先するためですしね。
管理を楽にしたいからこのシステムを利用するんでしょうけど、安全性を犠牲にしてしまうってのはなんだか逆行してるように見えますね。
見えてします状況 (スコア:0)
まぁ、それ以前に同じニックネーム使ってたらどこのサイトのユーザーとかすぐわかるよね。
Re: (スコア:0)
増田?
最初から (スコア:0)
だだ漏れなのに脆弱性もクソもないよね