第9回 文字コードが引き起こす表示上の問題点[前編] | gihyo.jp
文字コードが引き起こす問題点は、これまで説明したような比較の一致・不一致といったソフトウェアの処理上のものだけでなく、人間に対する視覚的な効果という点でも強く影響を与え、攻撃者にとっての強力な道具となることがあります。 今回および次回で、そのような文字コードが引き起こす視覚的な問題点を紹介します。 視覚的に似た文字 見かけのよく似た文字は、フィッシングなどによく利用されます。典型的な例としては、アルファベット小文字のl(エル)と数字の1などがあります。たとえば、http://bank1.example.jp/ というURLのオンラインバンクがあったとすると、攻撃者は http://bankl.example.jp/ というURLを使ってフィッシングを企むということは容易に想像できると思います。 もちろん、収録している文字数が増えれば増えるだけ、このように見かけのよく似た文字が存在する率も高
![第9回 文字コードが引き起こす表示上の問題点[前編] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/762fdaf17889a9d833f0bd06908e69f5624e1f46/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2009%2F343_charcode.png)
数字6桁パスワードのハッシュ値の総当たり、PHPなら約0.25秒で終わるよ
JALの6桁数字パスワード問題から派生して、JALのサイトがパスワードリマインダとして「現在のパスワード」を教えてくれることから、JALサイトではパスワードを平文保存しているのではないかという疑惑が持ち上がっています。それに対して、「いやいや、従来の主流と思われるソルト付きMD5ハッシュでの保存しても、実用的な速度でハッシュ値から元パスワードを『解読』できるよ」と、JALを擁護(?)するエントリが現れました。 パスワード問合せシステムを作る (clojureのreducers) この記事では、最初Clojureによる単純な総当たりで36秒、Clojureのreducersによる並列化で11秒でハッシュ値から元パスワードが求められるよ、と説明されています。まことに痛快な記事ですので、未読の方には一読をお勧めします。 とはいうものの、100万件のMD5の総当たりが、逐次実行で36秒、並列化して
2013年セキュリティ事件を振り返る:日本を狙ったマルウェアで被害が続発 (1/3)
―― 2013年はセキュリティに関する事件が非常に多かったように思いますが、本城さんはどう感じていらっしゃいますか? 本城 「みなさんそうおっしゃいますが、じつは大きな枠組みで見ると、2012年と大きく変わってはいないんです。日本でのマルウェア感染傾向も、昨年との違いはわずかです。 ただし、実害は大きく出たんですね。なぜかと言うと、日本のユーザーから金をむしり取ろうとする攻撃が増えたため。最初から日本を狙ったマルウェアによって、実害が大きくなったのです」 ―― 2013年のセキュリティ関連事件で、影響の大きかったものは何でしょうか? 本城 「大きく分けて3つあると思います。まずはオンラインバンキングからの現金引き出しを狙ったZeus(ゼウス)。日本がターゲットで史上最悪の7億6000万円の被害が出ました(10月までの被害額)。 2つめは遠隔操作事件ですね。江ノ島のネコのSDカードなどでメデ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
