Putty その3 【パティ】 (316レス)
上
下
前
次
1-
新
218
: 2014/10/25(土)00:38
AA×
>>215
>>216
>>217
>>213
[
240
|320|
480
|
600
|
100%
|
JPG
|
べ
|
レス栞
|
レス消
]
218: [sage] 2014/10/25(土) 00:38:12.77 >>215 認証より前の段階で脆弱性があればfingerprint確認は効果が無い。 opensslで大きな話題になったheartbleedも認証前に機能する脆弱性。 >>216 opensslのheartbleedはサーバないしクライアントのメモリを認証前に盗み見ることの出来る脆弱性。 攻撃対象のクライアントを偽サーバに誘導する方法が中間者攻撃であれば中間者攻撃は成立する。 あ、opensshではheartbleedされないけど、これはそれに相当する脆弱性があった場合の話ね? ローカルからの攻撃は無関係だし、そもそもOSの脆弱性に近いような気もするなぁ…それ。 >>217 openssl、opensshを問わず、暗号通信ライブラリに脆弱性があった場合に client側とserver側でどちらに脆弱性があった場合がより危険かと言う話。 serverだと任意コード実行であってもその鯖のroot止まりだが、 clientだとメモリ内容漏洩の段階で秘密鍵(クライアント認証情報)が漏れてしまう。 clientだからってまったく安心できないから>>213の認識は誤りだろう。 中間者攻撃は実施コストが高く、標的型で狙われないと被弾しにくいからあまり意識しなくて良いというだけ。 http://mevius.5ch.net/test/read.cgi/unix/1302006799/218
認証より前の段階で脆弱性があれば確認は効果が無い で大きな話題になったも認証前に機能する脆弱性 のはサーバないしクライアントのメモリを認証前に盗み見ることの出来る脆弱性 攻撃対象のクライアントを偽サーバに誘導する方法が中間者攻撃であれば中間者攻撃は成立する あではされないけどこれはそれに相当する脆弱性があった場合の話ね? ローカルからの攻撃は無関係だしそもそもの脆弱性に近いような気もするなぁそれ を問わず暗号通信ライブラリに脆弱性があった場合に 側と側でどちらに脆弱性があった場合がより危険かと言う話 だと任意コード実行であってもその鯖の止まりだが だとメモリ内容漏洩の段階で秘密鍵クライアント認証情報が漏れてしまう だからってまったく安心できないからの認識は誤りだろう 中間者攻撃は実施コストが高く標的型で狙われないと被弾しにくいからあまり意識しなくて良いというだけ
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 98 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
ぬこの手
ぬこTOP
0.040s