パスワードを忘れた? アカウント作成
13427894 story
セキュリティ

最新版macOSでパスワード入力時に「ヒントを表示」ボタンを押すとパスワードが表示される不具合 34

ストーリー by hylom
パスワードではなかった 部門より

最新版macOSであるmac OS High Sierra 10.13で、パスワード入力ダイアログの「パスワードのヒント」ボタンを押すと、ヒントではなくパスワードが表示されるという不具合が発見された(PC Watch)。10月5日付けでこの問題を修正するアップデートがリリースされている(Appleのサポートページ)。

Appleによると、この問題はmacOS High Sierra 10.13で、ディスクユーティリティでAPFS形式の暗号化ボリュームを作成した場合にパスワードをヒントとして保存してしまうために発生するという。アップデートでこの問題が修正され、またヒントにパスワードが設定されていた場合はそのヒントを消去するとのこと。

  • by Anonymous Coward on 2017年10月10日 13時53分 (#3293359)

    そう、macOSならね。

    冗談さておき、平文で保存されていたということはメモリ空間上にも平文のパスワードが存在している可能性もあったのか。
    そうでないなら復元可能な暗号化方式でパスワードを保存していたことになる。
    いずれにしても恐ろしい話だな…。

    ここに返信
    • by Anonymous Coward

      なんという親切機能。さすがmac。

      ちゃんとテストしてんの?と疑いたくなる間抜けなバグはさて置き、
      ブラウザのログイン情報を表示する機能は結構よく使うんだよな。
      Firefoxはマスターパスワードを設定できるけど、
      しなければ、何か共通の暗号化キーを使用する?まさかねー。
      Chromeはオンラインでも見れるから、
      googleアカウントあたりと連携した暗号化してんだろうか?

      • by Anonymous Coward

        > ちゃんとテストしてんの?

        テスト時は
        「うーん、テストデータどうしよ。HintTestでいいか」>ヒントに入力
        「うーん、このテストのパスワードどうしよ。これもHintTestでいいか。忘れたら面倒だしね。」>パスワードに入力
        ヒントを表示>HintTest
        「よしよし。」

        みたいな感じですかね。

        • by Anonymous Coward

          そんな手作業てすとだけで終わらすなんて、どっかの国のITみたいなことやっとらんと思うけどな>アップル

          自動テストの今回追加分が間違ってるか、暫定の奴がそのまま流された感じ?w

      • by Anonymous Coward

        > ちゃんとテストしてんの?
         
        何言ってるんですか?
        ご自身がおっしゃってるように、親切機能。
        これがおもてなしの心ってやつですよ。

        Apple製品はテクノロジーヲタ以外の幅広い人に使われるんですから。

        • by Anonymous Coward

          クラッカーに対してもおもてなしの心を忘れないとは、まさに神対応!

          # 髪の話はしてないよん

          • by Anonymous Coward

            もう髪の話しないの…(´・ω・`)

      • by Anonymous Coward

        >ちゃんとテストしてんの?

        アップルがテストなんかすると思ってんの?対応謳ったOSですら全台文鎮化やらかすのに。
        https://japan.cnet.com/article/20356999/ [cnet.com]

        • by Anonymous Coward

          >アップルがテストなんかすると思ってんの?

          ユーザーみんながテスターとしてやってるんじゃ?

      • by Anonymous Coward

        仕様です

    • by Anonymous Coward

      > 復元可能な暗号化方式でパスワードを保存していた

      難しいんだけど、ネットワーク経由でパスワード認証をする場合には、残念ながら、パスワードをハッシュ化するのはいろいろと難しい。特に相手となるシステムが複数あって、それぞれが別々の仕様で認証する場合。MacだってWindowsだって好きでそういうシステムにしているわけじゃない。

  • by Gath (48204) on 2017年10月12日 10時59分 (#3294456)
    もう、macOSってiOSの付属品でしかないからなぁ…… 専用ハードウェアでしか動かない組み込みOSみたいなもんなのに、アップデートがあると不具合が多いのはテストしてないんだろうなぁ…… QCのQCが必要な会社なんだなぁ…… 上手いのは脱税だけなのか?
    ここに返信
  • by Anonymous Coward on 2017年10月10日 13時49分 (#3293358)

    ログインパスワードを復元可能な方式で保存しているってこと?
    説明によってはAPFSのマウント時用パスワードって書いてあるんだけどどっち?

    ここに返信
    • by mars12 (28939) on 2017年10月10日 14時04分 (#3293368) 日記

      パスワードの文字列をそのままヒントとして保存しちゃう
      (パスワードはどう保存してるかわからない)
      ってだけだと思ったけど違うのかな?

      • by Anonymous Coward

        Appleのレポートにも実際の挙動が書かれていないのでよくわからない。
        ・ディスクをマウントする時、間違ってヒントの代わりにパスワードをリクエストしている。
        ・ディスクをマウントする時、正しくヒントをリクエストしているのにキーチェーンがパスワードを返している。
        どっちですかね?

        • by shesee (27226) on 2017年10月10日 14時42分 (#3293390) 日記

          APFS暗号化ボリュームを作成したときに、間違ってパスワードをヒントに入れてしまって、ヒントはどっかいっちゃったって事。パスワード自体は不可逆なハッシュになっている(はず)。
          APFS暗号化ボリュームのマウント時の動作にはバグは無い。

          • by Anonymous Coward

            APFS暗号化ボリュームに非暗号化なヒント領域があるの?
            私はヒントはキーチェーンの中にあるのだと思っていたのだが。

            • by Anonymous Coward

              というのもAppleのレポートには This was addressed by requiring the user password when prompting for keychain access. とあったので、あくまでキーチェーンの話なのでは?
              (つまりキーチェーンにパスワードを保存していない場合には、このバグは現れないのではないかと思っている。)

    • by Anonymous Coward

      ああ!家に帰ってきてよく読んだらわかった

      String password = passwordForm.text;
      String password_hint = passwordForm.text;
      みたいなあほなことやったのかwww

  • タイトル見ただけだと確かに「えっ」て思ったけど
    > ディスクユーティリティでAPFS形式の暗号化ボリュームを作成した場合にパスワードをヒントとして保存してしまうために発生するという
    二段落目に書いてる。

    ここに返信
    • by Anonymous Coward

      こんな目立つところにある説明にも気づかずコメントする様な人の仕事もどうせAppleレベルなんだろうな。

  • by Anonymous Coward on 2017年10月10日 20時16分 (#3293593)

    どんだけ開発力ゼロなんだと、、、、

    Apple製品はハード、ソフトを全部Appleが作ってるからこそ「危険」というしかないですね

    ここに返信
  • by Anonymous Coward on 2017年10月10日 21時00分 (#3293606)

    ランドではない

    ここに返信
  • by Anonymous Coward on 2017年10月10日 21時16分 (#3293614)

    たまにはこういうおおらかなニュースがあってもいいやね。

    ここに返信
  • by Anonymous Coward on 2017年10月11日 6時10分 (#3293736)

    あははははははは

    ここに返信
  • by Anonymous Coward on 2017年10月11日 22時43分 (#3294267)

    さすがApple

    ここに返信
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...