C#, C♯, C#相談室 Part97

■ このスレッドは過去ログ倉庫に格納されています
2022/12/21(水) 10:18:38.02ID:DxBIri9+0
!extend:checked:vvvvv:1000:512
!extend:checked:vvvvv:1000:512

■Visual Studio 2017 Community(無償の統合開発環境)等はこちら
http://www.visualstudio.com/downloads/

■コードを貼る場合はこちら
http://ideone.com/

■前スレ
C#, C♯, C#相談室 Part94
https://mevius.5ch.net/test/read.cgi/tech/1553075856/

■次スレは>>970が建てる事。
建てられない場合は他を指定する事。

C#, C♯, C#相談室 Part96
https://mevius.5ch.net/test/read.cgi/tech/1639965805/
VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured
2022/12/22(木) 09:26:53.83ID:D6FSghNTa
この時代になっても相変わらず機械語は逆コンパイルできないと思いこんでるやついるのな
2022/12/22(木) 09:27:54.54ID:D6FSghNTa
こういう機械語にすればセキュリティ上がると思ってるやつが平気でパスワード埋め込むんだよなあ
4デフォルトの名無しさん (スッップ Sd8a-JDfe)
垢版 |
2022/12/22(木) 10:33:57.58ID:F1nh9mbrd
>>2
C#やJavaといった中間言語に比べたら、圧倒的に可読性が低いでしょ?
できる、できないの、ゼロか100かの議論ではないんだよ
可読性が低いほど、解析されにくくなる。
2022/12/22(木) 10:38:00.37ID:2NJjkJHb0
中途半端な知識を持つものがC#を避ける原因の一つだからな
C++と同レベルの難読性を持つのはC#が生き残るには大事な話だ
2022/12/22(木) 11:35:07.63ID:GxD81iq9a
解析されて困るのはパスワード埋め込んでる時だけだろ
機械語にしてもセキュリティ上がらないからそういうことするのやめとけ
2022/12/22(木) 11:40:40.23ID:aOWlk2Pu0
わざわざ逆アセンブルしなくてもexeから文字列抽出すれば平文パスワードを探せるしねぇ
2022/12/22(木) 12:30:52.54ID:U1HHZUYmM
難読化した処理追えるならマシン語の逆アセ読むくらいは出来るだろ
余分な処理入ってない分、後者のが楽まである
2022/12/22(木) 12:59:42.23ID:h+8LnyZL0
昔、機械語で書かれたとあるアプリをHEXエディタで開いたら、ASCIIコードで平文のままパスワードが埋め込まれてた事が有ったな
10デフォルトの名無しさん (スッップ Sd8a-JDfe)
垢版 |
2022/12/22(木) 14:41:12.05ID:F1nh9mbrd
>>6-7
パスワードを暗号化とかして格納するとして、
その場合に暗号化のロジックコードをかんたんに読まれなければ
安全性はかなり高くなる。
2022/12/22(木) 14:45:55.03ID:hTl9WjWG0
パスワードの照合ってハッシュ値を比較するもんだと思ってた
なんかすごい実装してるやついそうだな
2022/12/22(木) 14:52:55.31ID:HxQ/rgDMa
>>10
ならねーよ
2022/12/22(木) 15:06:15.12ID:HxQ/rgDMa
逆コンパイルするじゃん?
コンパイルしてデバッガ使うじゃん?
パスワード送信するところで止めるじゃん?
復号したパスワードを表示するかファイルに書き込むじゃん?
生パスワード手に入るじゃん?
14デフォルトの名無しさん (スッップ Sd8a-JDfe)
垢版 |
2022/12/22(木) 15:27:07.06ID:F1nh9mbrd
>>13
その手順の詳細はやったことないのでデタラメかわからんが、
そもそもパスワード保存したストレージに他人がアクセスできないという
前提があるんだから問題はないだろう。共用するデバイスであれば、
パスワードを保存しない運用をすればいいだけだから。

あと証券とかセキュリティが重要なアプリはログインパスワードとは別に
取引パスワードとかもあるのが普通。
あとは出金とかのときはSMS認証とかもある会社が増えている。
要するにパスワードなどの認証はひとつである必要もないし、セキュリティ要件などに
あわせて併用すればいいだけ。
15デフォルトの名無しさん (スッップ Sd8a-JDfe)
垢版 |
2022/12/22(木) 15:30:16.26ID:F1nh9mbrd
>>11
それそれ、たぶんいいたいかったのはそれ。
暗号化したら膨大な時間かけないと複合化できない。
だからハッシュ。
DBの中にもパスワードのハッシュ値を格納するのがふつうなんでしょ、たしか。

>>13
暗号化したものは容易に複合化できないわけだが?
量子コンピューターとかないと無理でしょ
思いつきでいいかげんなこと書いてるでしょ?
2022/12/22(木) 15:49:37.33ID:4fbwDn1A0
>>15
>>10を読んでやれよw
そもそも実行ファイルにパスワード埋め込むなって話をしてるんだぞw
2022/12/22(木) 16:02:26.76ID:Qca7zyGd0
>native codeじゃないとかんたんに
>サーバーの認証のコードが漏れちゃうでしょ
>セキュリティ大事

発端はコレでしょ?
ハッシュでも暗号化文字列でもクライアントに共有シークレット埋め込んでる限り脆弱
少しスキルのある人間に悪用されるのは致し方ないと諦められるものじゃなければ仕組みを変える必要がある
2022/12/22(木) 16:03:27.41ID:Qca7zyGd0
ありゃ
全部同じ人だった
2022/12/22(木) 16:13:14.56ID:UcBjTq9Sa
>>18
ああ認証コードがわからないのか
ログインパスワードのことだぞ
2022/12/22(木) 16:39:53.08ID:2NJjkJHb0
パスワードっぽいのを仕込んでおいて遊んでみたい
2022/12/22(木) 16:50:44.38ID:RLY1K78+0
ログインパスワードをハードコードとか斬新だな
APIキーみたいな認証コードの話かと思った
2022/12/22(木) 16:58:48.83ID:iWtJ1OLb0
そんな次元なの?

パスワードの判明ならそれこそパスワードが合ってたかどうか、のif文に相当する命令を反転させたりnopにするという古典的な方法で別にパスワードがどうでも良くなるでしょ。そんなネイティブコンパイルされるか否か程度が問題なら。

アタッチして、パスワードが違うぞってダイアログ出てる状態からジャンプを逆に辿るだけなのでテクニックも何も無い。

何の意味も無くない?
2022/12/22(木) 18:43:36.71ID:+Rbmc+Rn0
>>21
斬新でもなんでもなくて、今ほどセキュリティにうるさくなかった昔には結構あったぞ

結局は要求される強度とかける手間との兼ね合い
2022/12/22(木) 18:48:29.53ID:HmVrE67C0
iniファイルにパスワードがそのまま記述もたまに
25デフォルトの名無しさん (ワッチョイ 535f-8Cre)
垢版 |
2022/12/22(木) 18:58:21.99ID:y9FZhiQ70
悪用って犯罪じゃないの?
警察どこいった?
2022/12/24(土) 11:07:26.72ID:o3kFQyD40
.NETってinternalに良いもん隠しすぎやろ
2022/12/24(土) 18:18:14.65ID:37MAMfIj0
便利機能を使うためにリフレクションで仕方なくアクセスするの面倒すぎる
■ このスレッドは過去ログ倉庫に格納されています
5ちゃんねるの広告が気に入らない場合は、こちらをクリックしてください。
ニューススポーツなんでも実況