10/01/31 16:15:11 iqJDiMZx0
>>773
ハッキング対策なんてバズワード使っちゃってる時点で色々残念だが…単純にパスワード保存可能である点とSFTP/SSL未対応サイトでは結局無意味である点とキーロガーには無力である点とそもそもSFTPごときが有料版専用である時点で無意味なんだ。
てかFTPSは何処に消えてるw
>>774
うん、マイナーだから安全って見方は十分有効だけど、>>737の言うように売り込んで普及したら元の木阿弥だね。
>>777
その手の物は保存用暗号鍵が別で付いてるから、抜くためにはキーロガーが必要になってEmFTPを攻撃するより一手間分+機会損失分だけ安全になる。
いまだ主流であるSFTP非対応サイトのこと考えると、シェア差分くらいしかメリットの無いEmFTPと同等の危険性とは言えないかな。
>>783
パスワード本体を持たずに照合するだけだったら超簡単。一方向ハッシュ関数だけですむ。
>>788>>789
あるよ。スマートカードとかの類の、公開鍵認証を組み込んだ認証用デバイスを利用すること。
認証中の状態を乗っとられたり、認証用デバイス自身を盗まれたり、クソ長い時間をかけて認証情報そのものを偽装されない限り安全に運用可能になる…が残念ながら全く普及してねーけどな。
個人で出来る対策としては、agentを走らせた認証専用のハンドヘルドPCをスマートカード替わりにして、agentをそっちにポート転送カマしておけばOK
>>790
暗号化ルーチンの問題じゃなくて、復号できる権限が何処にあるかが問題だな。
FFFTPやEmFTPの場合プログラム自身が復号権限を持っているので、動作を真似れば権限を奪うことが出来る。
毎回入力を求める場合、ユーザ(の持つパスワード)に復号の権限があるので、その認証セッション(記憶や付箋紙、通信、キー入力等)を奪われない限り安全になる。
その辺の権限を完全無視するのが力技によるアタックで、これはひたすら鍵長を長くするしか対策が無い。
暗号化アルゴリズムの鍵長の事だけれど、パスワードから生成する場合は大抵パスワードの安全性が先に問われるのでそっちにも注意。