トップ «前の日記(2008-09-12) 最新 次の日記(2008-09-14)» 編集

まにゅださ 今日のひとこと

2008年
9月
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30

最新のツッコミ:

備忘録:

  • RadioSakamoto (~20170902 2510日遅れ)
  • 地上アナログ波終了まで (~20110724 4742日遅れ)
Firefox ブラウザ無料ダウンロード
RSS

2008-09-13 [長年日記]

9:00現在 27℃

_ SHIFT-JIS から EUCJP に一括変換

いやぁ、いろいろ悩んだw
#!/bin/sh
for i in `find ./ -type f`; do iconv -f SHIFT-JIS -t EUCJP $i > $i.new && mv $i.new $i; done
で conv.sh ってファイルを作って完了。

_ Re: 不可逆的な暗号化によるパスワードの管理ってなんのこと?

知らないのかと思って教えてくれているらしい。「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々の人はここだけ読んだんだろうねぇ。知っていて書いているんだが、伝わらなかったようだ。
ここでいう「不可逆的な暗号化」っていうのは、専門数学用語でいうと「一方向性関数」の部類に入る(らしい)。業界ではハッシュ関数とかハッシュ値とか言う。
は(らしい)ではなくその通りですが。パスワードクラックツールも知っているし。不正アクセス行為の禁止等に関する法律が施行されているのでID保持者の承諾がなければ、大学でもこんなことはできないし。
実際にそういうソフトも(アングラなものではなく)存在するし、ユーザーに注意をうながす目的で実用されている。例えば大学なんかだと学生のアカウントのパスワードを定期的に走査して、安易なパスワードを見つけると自動的に警告するような仕組みは全くめずらしくない。やはり学生さんは安易なところあるしね。教育上必要なことだと思う。
大学ではちゃんとパスワード教育をする時に警告しますよって伝えているわけですな。実システムでこれやったら不正アクセス防止法に引っ掛かりますな。では、実システムから持ってきたハッシュ後のパスワードを使って試すのは? 「符号の適正な管理」が問われるんではないかね。

_ Yahoo!Auctionsからニックネームが得られるか

この疑問を誰か解決してくれないかな。Yahoo! JAPAN ID を持っていて、二ックネームも設定している場合、
  • http://openuser.auctions.yahoo.co.jp/jp/user/正式なID
  • http://openuser.auctions.yahoo.co.jp/jp/user/ニックネーム
の2つにアクセスしてみて欲しい。前者は、評価、出品リスト、自己紹介のページが出てくる。後者は、「Yahoo! JAPAN IDが無効です。」というページが表示される。

ヤフーオークションだけ見ていた場合、正式な Yahoo! JAPAN ID は知ることができる。二ックネームはどのように取得できる可能性があるのだろうか。

オークションにアクセスする場合には Yahoo! JAPAN ID + パスワード でしか利用していない (Web経由ではそれ以外のYahoo!関係のサービスも同じ)。

ログイン履歴へのリンクを見てもらえばわかるが、ニックネーム + パスワード で間違えることなく一発でオークションにログインしている。

もう一つ検証していないのだが疑問点があって、Yahoo!メールを メールソフトで送受信するには(Yahoo!メールアドレスの場合)でPOPアクセスする設定をしていた場合に、パスワードを間違えるとログイン履歴には反映されるのだろうか。Webメールの場合はどうだろうか。

疑問なことはやってみる。

Webメール
パスワードを間違えるとログイン履歴に残る
POPアクセス
パスワードを間違えてもログイン履歴に残らない
という結果になった。Webメールの方は2回間違えてみたが、ちゃんと2回とも記録されている (IDとニックネームの両方試した)。POPアクセスの方は3回間違えてみたが履歴には反映されないようだ。

ということはユーザはWebメール経由の不正アクセスには気付くが、POP経由の不正アクセスには気付かないということであろうか。

ただし、POPを使うのはオプションなのでWebメールだけとか転送だけにしておけばPOPアクセスはできない (転送だけにして確認済)。

本日のツッコミ(全3件) [ツッコミを入れる]
_ nanasi (2008-09-15 11:52)

>実システムから持ってきた暗号化パスワードを使って<br><br>文章中に”暗号化パスワード”って記述があるけど、暗号 = ハッシュ じゃないよ?<br>分かってるなら暗号化パスワードなんて書かないほうがいいんじゃ?<br>パスワードをもとに作られたハッシュ値(あるいはそのままハッシュ値)、の方が誤解を生じさせないと思うよ。<br>復号できるから暗号。元のデータに再変換できないからハッシュ。<br>暗号とハッシュは技術的にはまったくの別物。<br>そこだけ気になったので突っ込んでみた。<br>野暮な突っ込みだなーと思ったらコメント削除してね。

_ (2008-09-15 13:38)

正確に表現するとそうだね。一般の人に説明するのに「ハッシュ」と言うのと、「暗号」と言うのではどっちが伝わりやすいかを優先していたので。野暮だなぁw

_ (2008-09-15 13:43)

元々のYahoo!の回答も、リンク先も、「不可逆的な暗号化」って表現だったので、おかしいってことだねw


ランキング: 1.MC-4(6) 2.ま(5) 3.akihikok(3) 4.nanasi(1) 5.itochan(1)

来訪者: