Flex 4の新機能トップ10
今週(2009年6月1日)AdobeはFlex 4の正式な初ベータ版をリリースしました。Flex 4はGumbo(オクラ)というコードネームで開発されています。今回のリリースには大きな変更が多数含まれています。このRIAフレームワークの最新バージョンにおいて変更された事柄についての概要を以下のリストで見ていきましょう。
作者 Gavin Terrill , 翻訳者 編集部 投稿日 2007年9月13日 午後11時32分
Jeff Atwood氏が最近"Rainbow Hash Cracking"(source)というパスワードを解除するための技術に関する記事を書いた。その技術は辞書攻撃の変型であるが、事前に算出されたハッシュ値に対する テーブルルックアップを行う迅速な検索メカニズムに依存している。Jeff氏はパスワードが絶対にプレーンテキストに保存されるべきではないことを指摘し、パスワードストレージランドスケープを検査するのから始めた。パスワードは絶対にプレーンテキストに保存されるべきではない。少なくとも世界で一番世間知らずのプログラマーを使用して世界で一番無用心なシステムを構築していない限り、そうするべきでない。代わりにパスワードはハッシュ機能の出力(source)として保存される。ハッシュは1方向型の動作である。もしアタッカーがあなたの細切れのパスワードを手に入れたとしても、ハッシュ値のみでそのパスワードを再構築することはできないのだ。Rainbow Tableの技術はとても大きなテーブルの作成時間を削ってハッシュ値を事前に算出するものだ。
しかしながらレインボーテーブルを使ってパスワードのハッシュ値を攻撃するのは不可能なのだ。レインボーテーブルとは、存在し得る全ての文字のコンビネーション用の事前に算出された巨大なハッシュ値の集合体である。PCの攻撃は確実にオンザフライのハッシュ値を算出するが、攻撃マシンがメモリ内にテーブル全体を保存できるのに十分なRAMを備えていることを想定すると、事前に算出された巨大なハッシュ値を上手く生かしてすさまじい速さのオーダーを遂行するための攻撃を行うことができる。Windowsのパスワード解読ソフトであるOphcrack(サイト・英語)はRainbow Tablesのテクニックを使用している。JeffはWinsows XPに組み込まれている5つのパスワード中二つを3分以内で見つける事が可能なophcrackに付いてくる最小のテーブルを使用することができた。この テーブルには混合された文字と数字が含まれており(約800億のハッシュ値)、Windows LanManagerのパスワードを99.9%の確率で解読することができるのだ。JeffはLMハッシュ値のサポートはRainbow Table攻撃の影響を受けやすい初期のマイクロソフト暗号化メカニズムはデフォルトでは無効となっていたという助言をしている。
私はレガシーのLan Managerサポート機能がWindows Server2003においてデフォルトで有効になっていることに驚愕した。Lan Manager値を無効にし(source)、特にユーザーのドメインクレデンシャルを保存することになったWindowsサーバでそれを行うことが大切だ。
しかしながらリモートハッカーがサーバーかデータベースから巨大なハッシュ値のパスワードリストを手にいれたら問題なのである。レインボーアタックテーブルからの攻撃には多大なリスクがあるのだ。だからハッシュのみに頼るべきではないのである。いつもsaltをハッシュにいくつか付け加えてハッシュ値をユ ニークに保つのが大切なのである。"salt"はパスワードと連結してハッシュ機能にインプットとして使われているランダムなビットからなっており、リスクを2方向で減らす。
Jeffはレインボーテーブルアタックからパスワードを保護する方法はパスワードをsaltすることだと述べている。どうしてそれがそんなに成功するのでしょうか?サーバと攻撃者の2方向からその問題を考えてみましょう。
まず始めにサーバです。一時間に何十何千かもしくは一秒に何十ものログインがあります。データベースヒットとページリフレッシュのIOと比べるとパスワードのチェックは無視することが可能なのです。パスワードテストが2倍もしくは10倍の長さがかかっても気になりません。なぜならパスワードのハッシュ値は20/80の法則のhot spotにはないからです。
次は攻撃者です。これは簡単です。攻撃者はパスワードテストに2倍の時間がかかったらだめなのです。もし一つのテストに2倍の時間がかかったら全体のパスワード解読の時間も2倍かかってしまうからです。
今週(2009年6月1日)AdobeはFlex 4の正式な初ベータ版をリリースしました。Flex 4はGumbo(オクラ)というコードネームで開発されています。今回のリリースには大きな変更が多数含まれています。このRIAフレームワークの最新バージョンにおいて変更された事柄についての概要を以下のリストで見ていきましょう。
ビジネス領域の深い理解を反映したドメインモデルを設計するための、ヴィジョンとアプローチです。この本は、Eric Evans氏の「Domain Driven Design」の主要点を短く読みやすく要約しました。
この記事ではJavaプログラマがなぜFlexとBlazeDSを学ぶべきなのかについて13の理由を述べています。なぜ高度にインタラクティブなWeb サイトからJavaで開発されたバックエンドをもつエンタープライズ・アプリケーションまでを含む、リッチ・インターネット・アプリケーション(RIA)の開発にFlexとBlazeDSの組み合わせが最適な選択肢となるのかについて述べています。
Mary Poppendieck氏、Ron Jeffries氏、Jeff Patton氏、David West氏、Steve Freeman氏、Jason Yip氏が、バックログに関する彼らの意見とアジャイルチームを成功させるために必要な事を語った。
この記事ではAlex Devine氏が、Java開発者がPerf4Jをどのように利用できるかと、タイミングステートメントにコードを追加し、ロギング、結果の解析とモニタリングを行うオープンソースツールセットの説明をします。
この記事では低レベルのサービス・レイヤやリポジトリ・レイヤを肥大化させることなく、フェッチング・ストラテジによってモジュール化された方法でバックエンドにあるシステムからデータを取得する処理を最適化する方法について説明します。
この記事では、Web開発における多数の成熟傾向と、クライアントに価値を提供することに対するそれらのメリット、およびS#arp Architecture(最善の手法と技術を活用しようとするASP.NET MVCをベースとしたフレームワーク)内でのそれらの使用について取り上げます。
No comments
スレッド表示 返信