[harden-mac:0004] Jaguar で気になる点

[ISHIKAWA Yasuhisa <vm@xxxxxxxxxxxxxxxxxx>]

皆様、おはようございます。
ML管理人のvm_converterこと石川です。

すっかり挨拶が遅れてしまって申し訳有りませんが、
参加して下さっている方々、有り難うございます。
MLの案内にも書きましたが「ゆるゆると、且つ、有意義な」場にして
いければ、と思っております。宜しくどうぞ。
# プラスして、太洋さん、しろやまさん、投稿どうもです。

さて、挨拶がてら、Jaguarで気になっている点を列挙しておきます。
思いつくままに書いているので、かなり抜けが有ると思いますが。
私はまだJaguarに一度も触れていないので、ご存じの方がいらしたら
フォローしてくださると嬉しいです。

・rootになれないのは変わっていないか？
・デフォルトで立ち上がっているサービスやらdaemonは？
・ログインパネルで、以前にログインしたユーザを表示するか
# → [harden-mac:0002] で解決済み
・スリープからの復帰時には、以前ログインしたユーザを表示するか
・ログインパスワードの有効文字数は９文字以上？
# → 伝聞では改善済み。だが、ハッシュ化アルゴリズムは？
・nidump passwd . などでパスワード情報を露呈するか
・キーチェーンがログインと同時にロック解除される？
・PPP（PPPoEも）接続時のアカウント情報露呈は？
・AFP経由でのパスワード書き換えは可能か
・↑で、特殊文字を含ませるとログインできなくなるか
・Publicフォルダの扱いは？
・AFPのアクセスログはデフォルトで取られているか
・ApacheとHFS+の問題は？
・FTPdはまだ有るのか、有るとしたら何か、chrootはされているか
・「システム環境設定」でのipfwの設定はどの程度カスタマイズできるか
・IEその他でのファイル自動実行の脆弱性の件は？
・volfs経由のファイルアクセスは？
・Open Firmware Password 1.0.2はJaguarでも使えるか
・AirMacでのRendezvousは？


つらつらと思いつく所だとこんな感じでしょうか。

それから私は詳しくないので、PAMやSecurity.frameworkなどなどはどうよ？
ってのをどなたかに語って頂ければなぁ、なんて思ってます。

# もう暫くしたらどこかにJaguarを買いに行く予定です。
# 新宿か秋葉原か有楽町か...。込んでそう。(--;

-- 
| 石川 泰久／vm_converter
| セキュリティ・スタジアム実行委員会
| vm@xxxxxxxxxxxxxxxxxx
| http://homepage.mac.com/vm_converter/
____________________________________________________
◆Harden-Mac ML
http://homepage.mac.com/vm_converter/harden-mac.html
◆セキュリティ・スタジアム2002
http://www.security-stadium.org/



--[PR]------------------------------------------------------------------
ウェブ上のアフィリエイトプログラムは数多くありますが、１年ちょっとで
１万人もの加入者を獲得したAmazon.co.jpのアソシエイト・プログラムは
その機能と使いやすさでウェブマスターに受けています。リンクを貼れば売上
に応じて３％～５％の報酬を得られるこのプログラムは・・・
 http://ad.freeml.com/cgi-bin/ad.cgi?id=bmbHW
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp