[harden-mac:0398] Re: Apple AirPort Administrative Password Obfuscation

["shikap@xxxxxxxxxxxx" <shikap@xxxxxxxxxxxx>]

しかＰです。
＃こちらはとんとご無沙汰ですm(__)m

At 7:05 PM +0900 03.5.14, vm_converter wrote:
>  > パスワードが 32 byte に満たない場合は， 0x00 がパディングされる。
>>  それに固定のキーが XOR される。
>>  よって， 1 文字のパスワードの場合は，残りの文字について，キーがその
>>  まま見えてしまう。
>>
>>  ということのようです。
>
>しかＰさんのところ
>http://www.yk.rim.or.jp/~shikap/dmaker/dviewer.cgi?200305131158
>でも確認しましたが、「うはー」って感じですね。(^^;;

うちでもちょっと触れましたけど、過去のInternetConfigのパスワード保存に
関するロジックそのものの脆弱性からまったく学んでいないのが残念なところです。
UNIXの/etc/passwdへのパスワードハッシュ保存のような仕組みをOSXを作る
時に見ているであろうにもかかわらず・・・・。
というか、なぜによりによってXORなんでしょうねぇ。確かに、ロジックの実装
規模が小さい（＝メモリを食わない）ので使った、と見れなくもないんですが、
それにしたって、というのが正直な感想です。

まぁ、太洋さん所（http://d.hatena.ne.jp/t_trace/20030514）での、
otsuneさんのコメントにもあるとおり、他の認証にも似たような弱さがあるわけ
ですから、その辺は理解した上で運用するしかないんでしょうね。

>電車でMacStumblerなどでウォードライビングの真似事などすると
>WEPのかかってないAirMacネットワークが結構見つかるんですが...。
>
>
># しかしこの件、あんまり話題になってないですね。

前半はさておき(^^;;;
話題になってないですねぇ、この件。
Mac系雑誌にのるまで（そんな事があるかどうかはまた別問題、笑）の間は
ほとんど話題にならないんじゃないでしょうか。

以下、余談。
１文字パスワードを使うとキーの31文字分が見える、と言うことなんですが、
これって、一般ユーザとしてはキー丸見えと同意義ですよね、きっと。
８割方、キー＝単語もしくはセンテンス、なんでしょうし（苦笑）

では。

--[PR]------------------------------------------------------------------
【 FreeML ユーザー登録してますか？】
　　・メールアドレスとパスワードのカンタン登録！
　　・ニックネームもつけられるし、WEBメールも使える！
　　・MLだってカンタンに作れちゃう！
▼ いますぐ登録！ => http://click.freeml.com/ad.php?id=121394
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp