2007/10/23

[技術系]   いや、復号はできないでしょう

at 14:28JST
たぶんわかって書いてるんだと思うけど、自分のために思考整理。

ブログが続かないわけ | MD5は復号できる!?
http://en.yummy.stripper.jp/?eid=719489

Digest::MD5::Reverseは、あくまで
「おなじハッシュ値をもつデータを引っ張ってくる」
だけで別に復号できるわけじゃないよね。

  元データ:a
に対して、
  aのハッシュ値:f(a)
だとすると、
  f(a) = f(b)
となる
  別のデータ:b
を出してくると(※もちろんa=bの可能性もある)。

ただし、ハッシュ関数の特性として実用的な時間内にbを算出するのは難しいので、一種のブルートフォースを行えるようあらかじめデータベースに
  ハッシュ値:データ
の表を蓄積している、と。やり方としてはMD5以前にDESでパスワード保存していたころのcrackとあんまかわらない。

「こういうものがあると
 ハッシュ値を使ったパスワード検証の土台が揺らぐ」
かというと、そんなこともないよね。

パスワードaに対して単純にハッシュ値f(a)を保管していてこの値が漏洩した場合は、f(a)=f(b) となる偽パスワードbを提示されるだけで突破されてしまうが、秘密の文字列s(漏れないことが前提)を用意して
  f(a+s)
を保存しておくようにすれば、仮にf(a+s)が通信経路などからバレ、汎用のデータベースからf(a+s)=f(b)となるbを抽出して認証に使われたとしても、
・f(b+s)を算出
・f(a+s)≠f(b+s)なので認証失敗
ということになる。sじゃなくてf()を単純なMD5でない(MD5以上に信頼できる)関数f'()にしても可。ハッシュの表が用意されていなければいい。イタチごっこ的な部分もあるけど。

というかWebアプリケーションの認証って、ふつーこうやってるんだとばっかり思ってた。だからMD5の逆引き自体は驚くことでもなんでもなくて、前提にしてシステムの設計をしなきゃいけないもんだと。

というような感じだと思うけど…ぶんけいなのでぼくよくわかりません。うのみにするとしぬことがあります。しかしプロバイダに就職する人はたいへんだよね…むかしの同期が某ネットでメールを大量に消したことを思い出す…。

#なんでウチのAdSenseは「フェミニーナ軟膏」とかが表示されるんだ?

※追記
まともに突っ込んでくれてる方がいらした↓参考になる

パスワードの保存に SMD5 (Salted MD5) や SSHA1を使う (MD5 への辞書攻撃とか) - まちゅダイアリー (2007-10-23)
http://www.machu.jp/diary/20071023.html#p01

あー…ちゃんとしたやり方ならsalt(sはstringじゃなくてsaltのsのつもりだった)は漏れても大したインパクトないのかー。まあ、/etc/passwdもそうだったもんね…。

たぶん、sはソースコードにハードコーディングして、f(a+s)がSQLインジェクションで漏洩した場合のこと?

「ハードコーディングすりゃ漏れないだろ」という安易な発想で書いていたのはそのとおり^^; f(a+s)はインジェクションに限らず通信経路で丸見えだろう、という感じ…これはぼくが元エントリの「ローカルにパスワードを保存する形式についての話」と、Web API系認証サービスの話をごっちゃにして書いてるからです(いばるな)。

辞書攻撃の場合、基本的にはa=bのはず。パスワードに使うような文字列でa!=bってのはない気がする。

そんな気もするけど、どっちかというとa!=bであってほしい気もする^^;

[ネット]   純粋な購買行動がロングテール原理主義者に非国民呼ばわりされる予感

at 12:05JST
レコメンデーションエンジンがロングテールの敵になる?:コラム - CNET Japan
http://japan.cnet.com/column/rwweb/story/0,2000090739,20359075,00.htm

のタイトルを見てそんな悪寒が背筋を走った。原文読んでないけど。

そんなもん、確率のイロハで、
「母集団が十分に大きければ、結果は偏らなくなる」
に決まってる。レコメンデーションで「驚きの」推薦が頻発してたとしたら、それは母集団であるコミュニティがまだ小さかったり未成熟だったりしたせいだろ。参加者が増えれば順当な結果しか出なくなる。

フツーにセット商品買ったら、
「それはロングテールを破壊する非民主的な行為だ」
とか突っ込まれるのかねえ。

そもそもどうしてロングテールや集合知が民主的で多様性を担保するなどという脳天気な期待が出てくるのか。はてなブックマークとか見てても、それはありえないってわかるだろ。そもそもコミュニティ自体が親和性の高い者どうし集まってつくられる、ある程度均質性を備えたものなのだから。その期待感は、メディアや道具が黎明期にあるとき特有の青い高揚感にすぎない。

というか、もう「ロングテール」なんて手垢のついたバズワード使うのはやめれ。恥ずかしい。

[雑記]   ヤコブの梯子

at 11:44JST
20071023mage041.jpg

「雲の隙間から陽光が漏れ差し帯状に見えるようす」を、たしか一言で表すことばがあったような気がする…が
「ヤコブの梯子(はしご)」
しか見つからなかった。ジェイコブズラダーね。

なんかこう、もっと非宗教的な日本語があったような気がするのだが…。なんだっけ?

[雑記]   携帯用外部バッテリーまとめ

at 10:26JST
“腕”に装着できる携帯外部バッテリー登場──「チャージャーブレスレット」 - ITmedia +D モバイル
http://plusd.itmedia.co.jp/mobile/articles/0710/19/news113.html

正直、汗をかきやすい手首にリチウムイオン電池を巻き付けるのは怖い気がする…。とはいえ、値段とパッケージ内容から言えばけっこう魅力的な商品だと思う。

手に巻き付けず、バッグの中などに放り込んでおくタイプの商品として類似したものがいくつかあったので、備忘録目的でまとめておく。

コラム:家電製品ミニレビューソニー「EnergyLINK CP-3H2K」
http://kaden.watch.impress.co.jp/cda/column/2007/04/11/686.html

出先でもこのバッテリー自体を充電できるところがポイントだと思う。

コラム:やじうまミニレビュー松下電器「ポケパワー」
http://kaden.watch.impress.co.jp/cda/column/2007/07/12/1036.html

こっちは逆に、持ち歩き部分が小さい。

三洋、携帯や音楽プレーヤーを充電できる携帯電源「eneloop mobile booster」
http://kaden.watch.impress.co.jp/cda/news/2007/09/04/1287.html
9月に発表して12月まで発売しない、三洋の腰の重さに絶望した。
さらに過去の記事
2009/04 (1)   2008/12 (3)   2008/11 (9)   2008/10 (10)   2008/09 (20)   2008/08 (2)   2008/07 (23)   2008/06 (16)   2008/05 (22)   2008/04 (11)   2008/03 (21)   2008/02 (20)   2008/01 (21)   2007/12 (32)   2007/11 (37)   2007/10 (46)   2007/09 (63)   2007/08 (33)   2007/07 (41)   2007/06 (81)   2007/05 (173)   2007/04 (168)   2007/03 (113)   2007/02 (123)   2007/01 (92)   2006/12 (111)   2006/11 (185)   2006/10 (20)  

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。