最新版macOSでパスワード入力時に「ヒントを表示」ボタンを押すとパスワードが表示される不具合 34
ストーリー by hylom
パスワードではなかった 部門より
パスワードではなかった 部門より
最新版macOSであるmac OS High Sierra 10.13で、パスワード入力ダイアログの「パスワードのヒント」ボタンを押すと、ヒントではなくパスワードが表示されるという不具合が発見された(PC Watch)。10月5日付けでこの問題を修正するアップデートがリリースされている(Appleのサポートページ)。
Appleによると、この問題はmacOS High Sierra 10.13で、ディスクユーティリティでAPFS形式の暗号化ボリュームを作成した場合にパスワードをヒントとして保存してしまうために発生するという。アップデートでこの問題が修正され、またヒントにパスワードが設定されていた場合はそのヒントを消去するとのこと。
パスワードを忘れるご老人でもコンピュータを自由自在に。 (スコア:2, おもしろおかしい)
そう、macOSならね。
冗談さておき、平文で保存されていたということはメモリ空間上にも平文のパスワードが存在している可能性もあったのか。
そうでないなら復元可能な暗号化方式でパスワードを保存していたことになる。
いずれにしても恐ろしい話だな…。
Re: (スコア:0)
なんという親切機能。さすがmac。
ちゃんとテストしてんの?と疑いたくなる間抜けなバグはさて置き、
ブラウザのログイン情報を表示する機能は結構よく使うんだよな。
Firefoxはマスターパスワードを設定できるけど、
しなければ、何か共通の暗号化キーを使用する?まさかねー。
Chromeはオンラインでも見れるから、
googleアカウントあたりと連携した暗号化してんだろうか?
Re: (スコア:0)
> ちゃんとテストしてんの?
テスト時は
「うーん、テストデータどうしよ。HintTestでいいか」>ヒントに入力
「うーん、このテストのパスワードどうしよ。これもHintTestでいいか。忘れたら面倒だしね。」>パスワードに入力
ヒントを表示>HintTest
「よしよし。」
みたいな感じですかね。
Re: (スコア:0)
そんな手作業てすとだけで終わらすなんて、どっかの国のITみたいなことやっとらんと思うけどな>アップル
自動テストの今回追加分が間違ってるか、暫定の奴がそのまま流された感じ?w
Re: (スコア:0)
> ちゃんとテストしてんの?
何言ってるんですか?
ご自身がおっしゃってるように、親切機能。
これがおもてなしの心ってやつですよ。
Apple製品はテクノロジーヲタ以外の幅広い人に使われるんですから。
Re: (スコア:0)
クラッカーに対してもおもてなしの心を忘れないとは、まさに神対応!
# 髪の話はしてないよん
Re: (スコア:0)
もう髪の話しないの…(´・ω・`)
Re: (スコア:0)
その人はもういないから...
Re: (スコア:0)
あなたが髪か!
Re: (スコア:0)
>ちゃんとテストしてんの?
アップルがテストなんかすると思ってんの?対応謳ったOSですら全台文鎮化やらかすのに。
https://japan.cnet.com/article/20356999/ [cnet.com]
Re: (スコア:0)
>アップルがテストなんかすると思ってんの?
ユーザーみんながテスターとしてやってるんじゃ?
Re: (スコア:0)
今回のパスワードならまだしも、
https://srad.jp/comment/3293419 [srad.jp]
に関しちゃ動きすらしないんだからユーザーもテストできまいw
Re: (スコア:0)
仕様です
Re: (スコア:0)
> 復元可能な暗号化方式でパスワードを保存していた
難しいんだけど、ネットワーク経由でパスワード認証をする場合には、残念ながら、パスワードをハッシュ化するのはいろいろと難しい。特に相手となるシステムが複数あって、それぞれが別々の仕様で認証する場合。MacだってWindowsだって好きでそういうシステムにしているわけじゃない。
致し方なし (スコア:1)
ちょっと待って? (スコア:0)
ログインパスワードを復元可能な方式で保存しているってこと?
説明によってはAPFSのマウント時用パスワードって書いてあるんだけどどっち?
Re:ちょっと待って? (スコア:2)
パスワードの文字列をそのままヒントとして保存しちゃう
(パスワードはどう保存してるかわからない)
ってだけだと思ったけど違うのかな?
Re: (スコア:0)
Appleのレポートにも実際の挙動が書かれていないのでよくわからない。
・ディスクをマウントする時、間違ってヒントの代わりにパスワードをリクエストしている。
・ディスクをマウントする時、正しくヒントをリクエストしているのにキーチェーンがパスワードを返している。
どっちですかね?
Re:ちょっと待って? (スコア:1)
APFS暗号化ボリュームを作成したときに、間違ってパスワードをヒントに入れてしまって、ヒントはどっかいっちゃったって事。パスワード自体は不可逆なハッシュになっている(はず)。
APFS暗号化ボリュームのマウント時の動作にはバグは無い。
Re: (スコア:0)
APFS暗号化ボリュームに非暗号化なヒント領域があるの?
私はヒントはキーチェーンの中にあるのだと思っていたのだが。
Re: (スコア:0)
というのもAppleのレポートには This was addressed by requiring the user password when prompting for keychain access. とあったので、あくまでキーチェーンの話なのでは?
(つまりキーチェーンにパスワードを保存していない場合には、このバグは現れないのではないかと思っている。)
Re:ちょっと待って? (スコア:1)
うにゃ、二つ問題があって、一つはこのAPFS暗号化ボリュームのポカミスバグで、もう一つがキーチェインの問題。別の問題。
キーチェインにはヒントは格納しない。
Re: (スコア:0)
なるほどサンクス。ヒントはディスクの非暗号化領域にあるわけね……
Re: (スコア:0)
ああ!家に帰ってきてよく読んだらわかった
String password = passwordForm.text;
String password_hint = passwordForm.text;
みたいなあほなことやったのかwww
パスワードを復元可能な形で保存しているわけではない (スコア:0)
タイトル見ただけだと確かに「えっ」て思ったけど
> ディスクユーティリティでAPFS形式の暗号化ボリュームを作成した場合にパスワードをヒントとして保存してしまうために発生するという
二段落目に書いてる。
Re: (スコア:0)
こんな目立つところにある説明にも気づかずコメントする様な人の仕事もどうせAppleレベルなんだろうな。
さすがにもはや一切の擁護ができない (スコア:0)
どんだけ開発力ゼロなんだと、、、、
Apple製品はハード、ソフトを全部Appleが作ってるからこそ「危険」というしかないですね
Re: (スコア:0)
だが それがいい
Re: (スコア:0)
いいわけねぇだろ
Re: (スコア:0)
信仰心が足りないぞ
マントーかな (スコア:0)
ランドではない
今日のほのぼのニュース (スコア:0)
たまにはこういうおおらかなニュースがあってもいいやね。
Appleらしいや (スコア:0)
あははははははは
何という親切機能 (スコア:0)
さすがApple