キーロガーから機密データを保護する場合、クリップボードを使用するよりもドラッグアンドドロップの方が安全ですか?
複数のパスワードロッカーアプリケーションでは、パスワードをクリップボードにコピーしたり、パスワードロッカーにシミュレートされたキー押下を使用してパスワードを入力させる代わりに、ドラッグアンドドロップ機能を使用してパスワードをログインフォームに転送することを推奨していることに気付きました。基本的な議論は、キーロガーがキーの押下を記録したり、クリップボードの内容を覗いたりするのはかなり簡単です。
コンピュータが危険にさらされた場合、データを完全に保護できるものは何もないことを私は知っていますが、ドラッグアンドドロップを使用して転送された場合、スパイウェアがパスワードを取得するのが難しいというのは本当ですか?
2つのウィンドウ間で自動的に通信が行われるという意味では優れていますが(転送後にオブジェクトが消えることを期待できます)、次の理由で反対票を投じます¹。
- 自動化を使用し、その インターフェース はパブリック
- それはそうではありません スレッドセーフ (つまりグローバルです)
- WindowsのWindows フックすることができます
私が見た唯一の保護はプロセスレベルでした:あなた できない 非昇格プロセスから昇格プロセスへのDnD(シャッター攻撃を防ぎます)。
¹テストするWindowsシステムがないので、それを反証しているように見えるものを参照しているだけです。