• はてなブックマーク
  • テクノロジー
  • sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まつてゐる
  • Twitterでシェア
  • Facebookでシェア

sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まつてゐる

テクノロジー カテゴリーの変更を依頼 記事元:ozuma.hatenablog.jp
適切な情報に変更
171 usersがブックマーク コメント23
    共有

    • 記事へのコメント23

    • 注目コメント
    • 新着コメント
    その他
    K-Ono
    K-Ono o.t.su.neと読み間違えた人は挙手。

    2014/06/24 リンク

    その他
    tmatsuu
    tmatsuu ChallengeResponseAuthenticationをnoにすればUsePAMはyesでいい。UsePAMをnoにするとユーザのパスワード欄は!!でログインできなくなるしPAMのアレコレもアレなのでUsePAM yesが良い。

    2014/06/26 リンク

    その他
    tarchan
    tarchan >OpenSSHでは、パスワード認証の際に長い文字列(目安で数万文字)を与えると、存在するユーザと存在しないユーザの場合で応答速度が変わってきます。

    2014/07/02 リンク

    その他
    J138
    J138 パスワードosueteーーーーー(^-^)

    2014/06/27 リンク

    その他
    Dryad
    Dryad 暗号実装はこういう話がゴロゴロしてて大変だよねぇ。面白いところだと、耐タンパーチップの反応時間や電圧変化から鍵を推測するみたいなのとか。

    2014/06/27 リンク

    その他
    wget_wget
    wget_wget よく考えるなー。

    2014/06/27 リンク

    その他
    indigo13love
    indigo13love おもしろい

    2014/06/27 リンク

    その他
    raimon49
    raimon49 OpenSSHベースのsshdに存在。検証に使ってるparamikoが便利。

    2014/06/26 リンク

    その他
    tmatsuu
    tmatsuu ChallengeResponseAuthenticationをnoにすればUsePAMはyesでいい。UsePAMをnoにするとユーザのパスワード欄は!!でログインできなくなるしPAMのアレコレもアレなのでUsePAM yesが良い。

    2014/06/26 リンク

    その他
    sonots
    sonots なんと

    2014/06/25 リンク

    その他
    Akaza
    Akaza SSH

    2014/06/25 リンク

    その他
    udzura
    udzura ゲーッ

    2014/06/25 リンク

    その他
    cugel
    cugel PAM でユーザーが存在しない場合に10秒くらいwaitするモジュールを作って optional pam_nouser_wait.so とかでは対策にならんのかしら?/パスワード長に依存するからその辺考えないとだめか。/だめだった。

    2014/06/25 リンク

    その他
    iww
    iww 『PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no』

    2014/06/24 リンク

    その他
    sirocco634
    sirocco634 メモ。後で設定ファイルを見直す。

    2014/06/24 リンク

    その他
    JULY
    JULY パスワード長の最大値を作らない限り、原理的に防ぎようがないよなぁ。ま、パスワード認証をしない、というのが一番、確実だけど。

    2014/06/24 リンク

    その他
    limesaki
    limesaki sshによるユーザ列挙攻撃\"osueta\" - ろば電子が詰まっている

    2014/06/24 リンク

    その他
    akulog
    akulog へぇ→私の試した範囲では、 ・存在するユーザの場合は数十秒 ・存在しないユーザの場合は数秒 で応答が返りました…

    2014/06/24 リンク

    その他
    asuka0801
    asuka0801 毎回パスワード間違える度に15秒も待ってたらイライラしてしゃーないのでスリーブ実装はUXとの兼ね合いになるのかな

    2014/06/24 リンク

    その他
    rna
    rna OpenSSHのパスワード認証で数万文字のパスワードを与えると、ユーザの存在/不在で応答速度が10倍違ってくるのでユーザの存在確認ができる、という話。存在しないユーザはダミーユーザで認証させるとかできないのかな?

    2014/06/24 リンク

    その他
    yife
    yife タイミング攻撃の一種ですかー

    2014/06/24 リンク

    その他
    t-tanaka
    t-tanaka 認証失敗時は,ユーザーの有無にかかわらず15秒ほど待ってから応答,という実装にするしかないんだろうなあ。

    2014/06/24 リンク

    その他
    honeybe
    honeybe オスエタ! / これ防いだ方が良いのかな?というか防げるのかな?

    2014/06/24 リンク

    その他
    K-Ono
    K-Ono o.t.su.neと読み間違えた人は挙手。

    2014/06/24 リンク

    その他
    mak_in
    mak_in 知らんかった。 OpenSSHでは、パスワード認証の際に長い文字列(目安で数万文字)を与えると、存在するユーザと存在しないユーザの場合で応答速度が変わってきます。

    2014/06/24 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まつてゐる

    ものすごく遅いレポートですが、先日、ゆるふわ勉強会こと さしみjp ささみjpの#ssmjp 2014/06 に参加さ...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.