パスワードの判定にstrcmpを使うべきでない理由
strcmpを使ってパスワードを判定すると、タイミング攻撃 (timing attack) にやられる危険性があることの説明 (約20分)。 まとめ: パスワードなどの文字列を strcmp関数 (およびそれに類する関数) を使って判定すると、 その判定にかかる時間を測定することで、パスワードが推測できてしまう場合がある。 これをタイミング攻撃 (timing attack) という。 この例では、36種類の文字を使った8文字分のパスワードを推測するのに、 通常のしらみつぶしな方法 (bruteforce attack) … 368 = 2821109907456回 の試行が必要なのに対して、 タイミング攻撃を使った方法 … 10000×8 = 80000回 しかかからない。タイミング攻撃を成功させてしまうと、 重要な情報が漏洩してしまう危険性がある。 これを防ぐためには、なるべく実行時間
現行の「セキュア・プログラミング講座」:IPA 独立行政法人 情報処理推進機構
「セキュア・プログラミング講座」(旧版)のコンテンツを作成して以来、 4年が経過しました。 セキュリティセンターは、文部科学省からの科学技術振興調整費財源 [1] に基づいて「ソースコード検査技術の脆弱性検出能力向上のための研究」を実施した一環として、取りまとめた内容を「セキュア・プログラミング講座」の改訂版として編集しました。ここに公開します。 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html 前の版は、典型的な脆弱性について紹介し、それらについての対策を説明していましたが、今般の改訂版は、ソフトウェアの開発工程に沿って、意識すべき論点を整理しました。 これには下流の工程においては、取り返しがつかない脆弱性をもってしまわないように、上流工程(要件定義、設計)から脆弱性対策の論点を意識できるように
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
