私の主張
数年前、誰かがリモートのファイルサーバーやサービスに接続しようとすると、次のようなメッセージが送信されることに気づいた: 無効なユーザー名/パスワードです! ユーザー名/パスワードが無効です!」。なぜそんなメッセージが表示されるのだろう?ユーザーがリモートのファイル・サーバーやサービスに接続しようとすると、リモート・サーバーはユーザーのユーザー名とパスワードのリクエストを送信する。そして、クライアントはそれに対して自分のユーザー名とパスワードを送信する。リモートサーバーはユーザー名とパスワードを一緒に受け取ると、フラグを設定し、同じメッセージでユーザーをクライアントに送り返します。 これは「なりすましによる認証」脆弱性の典型的な例である。コンピュータ・セキュリティでは、このバグを「中間者(man-in-the-middle)によるなりすまし」と呼ぶ。 バグを回避する方法 このバグを回避する最も簡単な方法は、そもそもサーバーがパスワード情報を送信しないようにすることです。LDAPやKerberosを使ってユーザーを認証している場合は、サーバーが認証パスワードを送信しないようにする必要があります。Google Authenticatorのようなシングル・ユーザー認証方式を使用している場合は、サーバーからユーザー名が送信されないようにする必要があります。 認証方法をテストするために使用できるソリューションもいくつかあります