- - PR -
パスワードを開発者(私)にも判らなくする方法(Winアプリ)
投稿者 | 投稿内容 | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-10-31 07:40
Amazon.com: Books: Writing Secure Code, Second Edition
http://www.amazon.com/exec/obidos/tg/detail/-/0735617228/qid=1130711199/sr=8-1/ref=pd_bbs_1/103-8497581-4834268?v=glance&s=books&n=507846 の8,9章あたりが参考になると思います。 まず、"Threat Modeling" をしてみましょう。下記のビデオが参考になるかも... SECSYM01 - Security Symposium: The What, Why and How of the Microsoft Security Development Lifecycle and Why You Should Care http://microsoft.sitestream.com/PDC05/SYM/SECSYM01_files/Default.htm#nopreload=1&autostart=1 _________________ IEEE-CSDP 2004-2007 | ||||||||||||||||||||
|
投稿日時: 2005-10-31 08:48
ジブさんこんにちは。
>テキストボックスかなにかでパスワードを受け取るとすれば >私の目の前を通り過ぎるときは平文となると思われますが >この部分はなんともならないものでしょうか? 見た目に何を打っているかわからないようにしたいという話なら、 TextBox.PasswordChar プロパティを"*"などに設定すればいいと思います。 http://www.microsoft.com/japan/msdn/library/default.asp?url=/japan/msdn/library/ja/cpref/html/frlrfsystemwindowsformstextboxclasspasswordchartopic.asp | ||||||||||||||||||||
|
投稿日時: 2005-10-31 13:02
http://www.ipa.go.jp/security/awareness/vendor/programming/b09_01_main.html こういうお話でしょうか? とりあえず、セキュリティ関係のお話の場合は ・どこの(どこを通る際の) ・何を ・誰から ・どのくらいの強度で ……守りたいのか、です。 残念ですが「私の目の前を通り過ぎるときは平文」では、ちょっとその辺が曖昧で返答し難いです。 #今回の場合、「何を」は「ユーザーパスワードを」だろうということだけは推測出来ますが で、関係者間でも上記の「どこの、何を、誰から、どれくらい」は意識のズレが発生しやすい箇所ですので、明文化して承認を得ておくことをお勧めします。 情報の隠蔽は、副作用として運用の手間や計算機資源の消費などを伴いますので、「いつでもこれが正解」というものはないです。 | ||||||||||||||||||||
|
投稿日時: 2005-11-01 21:41
返信がおそくなり申し訳ありませんでした。
どうも私の疑問自体が抽象的でよくわかっていないために みなさんを混乱させているようです。申し訳ありません。 siaさん
ごめんなさい。 特定の状況は想定していなくて、すみません。 iStationさん
この本、なかなかよさそうですね。さっそく注文しようと思います。 なか-chanさん
ありがとうございます。それはもちろんやっています。 永井和彦さん
ありがとうございます。勉強になります。
まず、どういう脅威が存在するのか勉強しないとお話にならないようです。 NTのころP0なんとかというハッキングツール?をみて愕然としたことがありました。 また、リバースエンジニアリングなど私には想像のつかない世界です。 デバッギングの技術もすごいもなんだかすごいですね、 シンボルを生成しなくてもスキルの高い人からみたら それこそ丸見えなのかななどと思ったりします。 パスワード入力用の画面とかを安易にクラスライブラリ化して、 プロパティで生のパスワードを渡すようなインタフェースを準備したりしたら、 格好の餌食になるように思えたりします。 (ふと立ち止まってよく考えないと、そういうことをやってしまいそうです。 ハッシュ値についても、単純なものだとあってないようなものだったりするのかも) ウィンドウズのパスワードは開発者がどうあがいてもその値を知ることはできないわけですが アプリケーションのパスワードは開発者のスキルに依存するということですね。 最初質問した時には、もしかしたら○○クラスを使えばできるよみたいな安直な考えでした。 まったくもって不勉強で申し訳ありません。 とりあえずチャレンジ/レスポンスの仕組みを作ってみようかなと思います。 .NetだとRSAとか3DESとかも簡単に使えるようなので、いろいろなことができそうですね。 雲をつかむような話でもうしわけありませんでした。 わたし自身が雲をつかむような状況だったので助かりました。 なかなかこういう基本的なことに時間をさけないでいるのですが 合間合間をみて勉強していきたいと思います。 次回はもちっと具体的な質問をさせていただくかもしれません。 いろいろありがとうございました。 |