2019年2月25日のtwitterセキュリティクラスタ

bcryptの72文字制限をSHA-512ハッシュで回避するのは危険!?

“bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記” htn.to/cToWWRn6krd

今日のブログ記事はこちら(再掲)。bcryptの些細な制約(72文字制限)を回避しようと一手間加えたら、1/256のユーザーが固定パスワードでログインできる大穴が空いた事例です
bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記
blog.tokumaru.org/2019/02/cautio…

現実的な話として72文字以上のパスワードを使いたい、かつ切り詰めたくないという需要はどこにあるのだろう / “bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記” htn.to/oshhP

私が見たブログ主さんは、パスワード長は72文字でも足りないという持論をお持ちのようでした twitter.com/hylom/status/1…

@ockeghem これ、そもそもなぜ第一段階に SHA-512 を使うのでしょう? SHA-256 なら16進でも72文字に収まり面倒なく切り詰めも回避できそうですが…

@pmakino 他人の意図はわかりませんが、「SHA-512の方がセキュア」ということと、同じような意味ですができるだけエントロピーを確保したいという理由かと思います。

参照記事見に行ったらバグの対策がバリデーションになってて、さすがバリデーションおじさんだと唸らされた / “bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記” htn.to/hnDTTaRSc3S

自分も最初はbcryptの72文字制限が気になり、いろいろこねくり回した挙げ句面倒くさくなって「72文字もあればいいか」と納得(投げ出)したのが正解だったと。(待て)

@ockeghem ピンポイントになってしまいますが Dropbox の流出の後いろいろ調べていた時期があって news.ycombinator.com/item?id=125484… を思い出しました。今回 Dropbox の事例を書いてくださらなっかたら思い出せなかったかもしれません。ありがとうございました。

Dropbox は以前流出した際 twitter.com/0x009AD6_810/s… にソルト付き SHA-1 と blowfish を使用していたように見え、その後のある状況を見ても blowfish の部分はクラックされていないように見えました

その他に気になったことはこのあたり。

パスワード文字列の最大長を設定しない理由として「攻撃者に対してこの範囲に必ずいるという安心感を与えず、無限の可能性を秘めていてほしい」みたいななんかふわっとした思いを聞いたことがある

SMSで佐川急便の不在通知を装ってアプリをインストールさせるフィッシング詐欺が来たのですぐに通報したけど、今見るともうChromeで警告が出るようになってた。
この詐欺は高齢者とか騙されそうだなあと思ったけど、ちゃんと防ぐ仕組みも稼働してていい感じだ。通報はここ。 safebrowsing.google.com/safebrowsing/r… pic.twitter.com/sI7dauOW8a

こんな感じに、提供先不明アプリを許可させるマニュアルを掲載した上で、自動ダウンロードさせてました。 pic.twitter.com/gAnoMd9mFO

あっ 著作権を侵害するコンテンツと知った上でスクリーンショットを撮ってしまった……

NTTで取り組んでいるPostgreSQLの透過的暗号化機能について書きました。興味がある方はぜひ一緒にやりましょう!

PostgreSQLでの透過的暗号化 – nttlabs – Medium medium.com/nttlabs/postgr…

これ、自分のとこにも件名が、(日本の有名人の名前)! なメールが数通来てる…

Namie Amuro!
Emi Hinouchi!
Tadanobu Asano!
Takayuki Yamada!
Yui!
Tomomi Itano! twitter.com/taku888infinit…

日本の芸能人名でなく、;*など顔文字件名の不審メール。
添付されたファイルはGandCrab v5.2ランサムウェア感染を目的としたマルウェア(広義のウイルス)ですので、開かないよう、お気を付け下さい。
従来のtest.exeの他、/spm/1.exeも取得する仕様に変わっています。
app.any.run/tasks/302e5afe… pic.twitter.com/dQj5OPdJIK

土曜にjawsdays2019に参加した次の日の朝に、「あなたのamazonアカウントは閉鎖されます」って、会社メールにフィッシングメールが来てたよ。

jawsdaysの参加申込は別メールでやってるから、名刺から漏洩したのかな…

みなさんご注意ください
#jawsdays #jawsug

ExploitDBで「Drupal < 8.6.10 / < 8.5.11 – REST Module Remote Code Execution」が公開された。

CVE-2019-6340 ですね。
exploit-db.com/exploits/46452

【メールマガジン(FROM JPRS)】バックナンバーを更新しました。
通常号 vol.880「(緊急)BIND 9.xの脆弱性(メモリリークの発生)について(CVE-2018-5744)」、「BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5745)」、「BIND 9.xの脆弱性(アクセス制限…
jprs.jp/mail/backnumbe…

そろそろ少しくらい何か言っても大丈夫かなー、、ということで、少し控えめな雑文を書きました。議論の振り返りに加え、著作権教育、データ主導経済、デジタルアーカイブなどに関してです。 news.yahoo.co.jp/byline/ikegai/…

侵入に気付けない、正規を「隠れみの」に活動を隠蔽するサイバー攻撃の対策とは
keyman.or.jp/endsec/filteri…izumino.jp/Security/sec_t…

記事をアップしました!
ペット飼育用品のECサイトでカード情報241件が流出、手口は偽のカード番号入力画面に誘導するフィッシング
netshop.impress.co.jp/node/6254?utm_…

GPUのディスプレイドライバーに複数の脆弱性、問題を修正した最新版が公開/ービス拒否(DoS)や特権の昇格、任意コードの実行、情報漏洩などにつながる恐れ forest.watch.impress.co.jp/docs/news/1171… pic.twitter.com/r0YnQ0R1f9

ニセのクレジットカード番号入力画面に誘導するフィッシングにより、ペット用品のECサイトでカード情報241件が流出したとのことです。bit.ly/2GH4wBj pic.twitter.com/mlnshaAUnX

ソリトンシステムズは、「Collection#1」から日本人のものと思われる漏えいアカウントを新たに約802万件発見した。情報漏えい被害に遭った日本のサイトは42サイトで、そのうち6サイトを今回新たに発見したという。 atmarkit.co.jp/ait/articles/1…

Chrome拡張機能の安全性がわかる「CRXcavator」–Chromeウェブストアにリストされる12万件の調査結果は japan.zdnet.com/article/351331…

企業セキュリティに“良い傾向”も予算と人材は不足気味–EY Japan japan.zdnet.com/article/351331…

第3回:違和感から見つけたマルウェアの正体–グローバルインシデント事例 japan.zdnet.com/article/351327…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2713 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>