にしのクエスト2

情報処理技術者試験と資格学校講師の日常

20240615101703

日々是ネットワーク #5 パス付きZIPってどうしてダメなん?

今回は、ネットとはちょっと違うかもです(w

www.itmedia.co.jp


こんな記事が出てましたね。

さて、ここはそういえば情報処理技術者試験のページでしたね。
こほん。では問題です。

なぜ、パス付きZIPファイルはセキュリティ
上ダメなのでしょうか?3点挙げよ。

ちゃんと答えられるかな?

1 そもそも暗号化じゃないから

ZIPはアーカイバなので、データを圧縮しているだけです。
中身を解析して、覗くことは十分可能です。

2 内部構造を見ることができるから

パスワードがわからないので、解凍することはできなくて
も。圧縮されているファイルの構造や、ファイル名は見る
ことができます。よって、ファイルの名前によっては内容
の推測もできますね。

3 パスワード試行回数に制限がないから

なので、ダウンロードして、何回もアタックすれば必ず解
けてしまいます。そういうソフトもあるくらいでございま
す。

4 送られてくるパスワードは平文

もう一つ書くとすれば、別便のパスワードは暗号化されて
ないパターン多すぎですよね。

盲信的ですよね

要するにパスZIPは「なんとなく、安全なような気がする・・・」
というだけで、全く意味がないのにもかかわらず盲信的に安全策
として採用され続けてきた悪癖です。

これが技術的にきちんと見直されて、やめようっていう動きが出
てきたのは当然と言えばそうですが、お役所にしてはやるじゃん!
って思いますね。

ではでは。

f:id:koharuwest:20200724151322p:plain