C#, C♯, C＃相談室 Part97

[1 デフォルトの名無しさん (ﾜｯﾁｮｲ d707-bKpv) 2022/12/21(水) 10:18:38.02 ID:DxBIri9+0]

!extend:checked:vvvvv:1000:512
!extend:checked:vvvvv:1000:512

■Visual Studio 2017 Community(無償の統合開発環境)等はこちら
http://www.visualstudio.com/downloads/

■コードを貼る場合はこちら
http://ideone.com/

■前スレ
C#, C♯, C＃相談室 Part94
https://mevius.5ch.net/test/read.cgi/tech/1553075856/

■次スレは>>970が建てる事。
建てられない場合は他を指定する事。

C#, C♯, C＃相談室 Part96
https://mevius.5ch.net/test/read.cgi/tech/1639965805/

---

VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured

[2 デフォルトの名無しさん (ｱｳｱｳｳｰ Sa9f-bKpv) 2022/12/22(木) 09:26:53.83 ID:D6FSghNTa]

この時代になっても相変わらず機械語は逆コンパイルできないと思いこんでるやついるのな

[3 デフォルトの名無しさん (ｱｳｱｳｳｰ Sa9f-bKpv) 2022/12/22(木) 09:27:54.54 ID:D6FSghNTa]

こういう機械語にすればセキュリティ上がると思ってるやつが平気でパスワード埋め込むんだよなあ

[4 デフォルトの名無しさん (ｽｯｯﾌﾟ Sd8a-JDfe) 2022/12/22(木) 10:33:57.58 ID:F1nh9mbrd]

>>2
C#やJavaといった中間言語に比べたら、圧倒的に可読性が低いでしょ？
できる、できないの、ゼロか100かの議論ではないんだよ
可読性が低いほど、解析されにくくなる。

[5 デフォルトの名無しさん (ﾜｯﾁｮｲ af42-JDfe) 2022/12/22(木) 10:38:00.37 ID:2NJjkJHb0]

中途半端な知識を持つものがC#を避ける原因の一つだからな
C++と同レベルの難読性を持つのはC#が生き残るには大事な話だ

[6 デフォルトの名無しさん (ｱｳｱｳｳｰ Sa9f-bKpv) 2022/12/22(木) 11:35:07.63 ID:GxD81iq9a]

解析されて困るのはパスワード埋め込んでる時だけだろ
機械語にしてもセキュリティ上がらないからそういうことするのやめとけ

[7 デフォルトの名無しさん (ﾜｯﾁｮｲ db2d-z22/) 2022/12/22(木) 11:40:40.23 ID:aOWlk2Pu0]

わざわざ逆アセンブルしなくてもexeから文字列抽出すれば平文パスワードを探せるしねぇ

[8 デフォルトの名無しさん (ﾃﾃﾝﾃﾝﾃﾝ MMe6-w6Ef) 2022/12/22(木) 12:30:52.54 ID:U1HHZUYmM]

難読化した処理追えるならマシン語の逆アセ読むくらいは出来るだろ
余分な処理入ってない分、後者のが楽まである

[9 ◆xETmWn3d3U (ﾜｯﾁｮｲ f3b1-N2O4) 2022/12/22(木) 12:59:42.23 ID:h+8LnyZL0]

昔、機械語で書かれたとあるアプリをHEXエディタで開いたら、ASCIIコードで平文のままパスワードが埋め込まれてた事が有ったな

[10 デフォルトの名無しさん (ｽｯｯﾌﾟ Sd8a-JDfe) 2022/12/22(木) 14:41:12.05 ID:F1nh9mbrd]

>>6-7
パスワードを暗号化とかして格納するとして、
その場合に暗号化のロジックコードをかんたんに読まれなければ
安全性はかなり高くなる。

[11 デフォルトの名無しさん (ﾜｯﾁｮｲ 3ebb-fz0m) 2022/12/22(木) 14:45:55.03 ID:hTl9WjWG0]

パスワードの照合ってハッシュ値を比較するもんだと思ってた
なんかすごい実装してるやついそうだな

[12 デフォルトの名無しさん (ｱｳｱｳｳｰ Sa9f-bKpv) 2022/12/22(木) 14:52:55.31 ID:HxQ/rgDMa]

>>10
ならねーよ

[13 デフォルトの名無しさん (ｱｳｱｳｳｰ Sa9f-bKpv) 2022/12/22(木) 15:06:15.12 ID:HxQ/rgDMa]

逆コンパイルするじゃん？
コンパイルしてデバッガ使うじゃん？
パスワード送信するところで止めるじゃん？
復号したパスワードを表示するかファイルに書き込むじゃん？
生パスワード手に入るじゃん？

[14 デフォルトの名無しさん (ｽｯｯﾌﾟ Sd8a-JDfe) 2022/12/22(木) 15:27:07.06 ID:F1nh9mbrd]

>>13
その手順の詳細はやったことないのでデタラメかわからんが、
そもそもパスワード保存したストレージに他人がアクセスできないという
前提があるんだから問題はないだろう。共用するデバイスであれば、
パスワードを保存しない運用をすればいいだけだから。

あと証券とかセキュリティが重要なアプリはログインパスワードとは別に
取引パスワードとかもあるのが普通。
あとは出金とかのときはSMS認証とかもある会社が増えている。
要するにパスワードなどの認証はひとつである必要もないし、セキュリティ要件などに
あわせて併用すればいいだけ。

[15 デフォルトの名無しさん (ｽｯｯﾌﾟ Sd8a-JDfe) 2022/12/22(木) 15:30:16.26 ID:F1nh9mbrd]

>>11
それそれ、たぶんいいたいかったのはそれ。
暗号化したら膨大な時間かけないと複合化できない。
だからハッシュ。
DBの中にもパスワードのハッシュ値を格納するのがふつうなんでしょ、たしか。

>>13
暗号化したものは容易に複合化できないわけだが？
量子コンピューターとかないと無理でしょ
思いつきでいいかげんなこと書いてるでしょ？

[16 デフォルトの名無しさん (ﾜｯﾁｮｲ c307-bKpv) 2022/12/22(木) 15:49:37.33 ID:4fbwDn1A0]

>>15
>>10を読んでやれよw
そもそも実行ファイルにパスワード埋め込むなって話をしてるんだぞw

[17 デフォルトの名無しさん (ﾜｯﾁｮｲ 2a01-ekyc) 2022/12/22(木) 16:02:26.76 ID:Qca7zyGd0]

>native codeじゃないとかんたんに
>サーバーの認証のコードが漏れちゃうでしょ
>セキュリティ大事

発端はコレでしょ？
ハッシュでも暗号化文字列でもクライアントに共有シークレット埋め込んでる限り脆弱
少しスキルのある人間に悪用されるのは致し方ないと諦められるものじゃなければ仕組みを変える必要がある

[18 デフォルトの名無しさん (ﾜｯﾁｮｲ 2a01-ekyc) 2022/12/22(木) 16:03:27.41 ID:Qca7zyGd0]

ありゃ
全部同じ人だった

[19 デフォルトの名無しさん (ｱｳｱｳｳｰ Sa9f-bKpv) 2022/12/22(木) 16:13:14.56 ID:UcBjTq9Sa]

>>18
ああ認証コードがわからないのか
ログインパスワードのことだぞ

[20 デフォルトの名無しさん (ﾜｯﾁｮｲ af42-JDfe) 2022/12/22(木) 16:39:53.08 ID:2NJjkJHb0]

パスワードっぽいのを仕込んでおいて遊んでみたい

[21 デフォルトの名無しさん (ﾜｯﾁｮｲ ea79-eUtI) 2022/12/22(木) 16:50:44.38 ID:RLY1K78+0]

ログインパスワードをハードコードとか斬新だな
APIキーみたいな認証コードの話かと思った

[22 デフォルトの名無しさん (ﾜｯﾁｮｲ 535f-f2OJ) 2022/12/22(木) 16:58:48.83 ID:iWtJ1OLb0]

そんな次元なの？

パスワードの判明ならそれこそパスワードが合ってたかどうか、のif文に相当する命令を反転させたりnopにするという古典的な方法で別にパスワードがどうでも良くなるでしょ。そんなネイティブコンパイルされるか否か程度が問題なら。

アタッチして、パスワードが違うぞってダイアログ出てる状態からジャンプを逆に辿るだけなのでテクニックも何も無い。

何の意味も無くない？

[23 デフォルトの名無しさん (ﾜｯﾁｮｲ 0f2f-8Cre) 2022/12/22(木) 18:43:36.71 ID:+Rbmc+Rn0]

>>21
斬新でもなんでもなくて、今ほどセキュリティにうるさくなかった昔には結構あったぞ

結局は要求される強度とかける手間との兼ね合い

[24 デフォルトの名無しさん (ﾜｯﾁｮｲ 97ae-zlOH) 2022/12/22(木) 18:48:29.53 ID:HmVrE67C0]

iniファイルにパスワードがそのまま記述もたまに