朝方には13℃台で窓ガラスがくもってた.またまた真冬並み.ちなみにこっちに来てプロバイダを切り替えた当初から SSL 使ってるもんね.ちょっと調べたら,最近始まった Gmail の外部メイルアカウント対応も,流石というか SSL 対応になってた.
情報処理推進機構(IPA)は19日、メール受信時の認証方式のAPOPについて、攻撃者がなりすましたメールサーバーを用いることで、パスワードが漏洩する脆弱性が発見されたと警告した。
APOPでは、メールサーバーが送信する毎回異なる文字列(チャレンジ文字列)にパスワードを組み合わせた文字列を、MD5と呼ばれるハッシュ関数により暗号化(ダイジェスト化)し、これをワンタイムパスワードとして使用している。このため、通信経路の盗聴やサーバーのなりすましなどが行なわれた場合でも、攻撃者は暗号化された文字列しか入手できないため、暗号が解読されなければパスワードが漏洩することはない。
報告された脆弱性は、攻撃者が正規のメールサーバーになりすましたサーバーを用意し、偽のサーバーが送信するチャレンジ文字列に対する応答を一定時間収集することにより、パスワードの解読が可能になるというもの。APOPで用いられているMD5ハッシュ方式については危険性を指摘する論文が多く公表されていたが、今回、暗号学の国際会議(FSE2007)においてAPOPにおける攻撃方法の概要が公開された。
実際の解読には長時間を要するとのことだが,MD5 使ってる多くのソフトウェアに影響アリってこと.
CPU メーカーは性能向上に努め続けてるけど,(極く一部のハイエンドゲーマーを除いて)一般ピーポーが普段使う限り, CPU 性能は既に充分だろう(お馬鹿な OS を使わなきゃ more better だし,むしろアクセス回線や memory も含めた I/O の方がネックだ).その結果潤沢な CPU パワーが,クラッキング作業やボットネットの拡大を,日々楽にし続けているという感じぢゃないのか.
あと最近思うけど,AMD が相変わらずコマメに値下げしてる割に,パソコン価格の動きが鈍い様な...
Thunderbird 2 正式版出た.RC1 の後に RC2 くらい出るかと思ってたけど.でもちと様子見.一方 OpenOffice 2.2 の日本語版がちょっと遅れてるのかな?
