アカウント名:
パスワード:
サービス側が「秘密の質問」をどんな用途で使ってるか次第で、まったく様相は変わってきませんかね。
①「秘密の質問」がパスワードと同等に機能する。 つまり、入力すると、パスワード認証した場合と同じ権限でセッションが張られる。
⇒記事の通り。ただし、これは「役立たず」というものではなく、明らかに不都合のあるセキュリティホール。 こんな阿呆なWebサイト、今のところ見たことありませんが。
②「秘密の質問」を入力しても権限は得られず、正規ユーザに向けて「何かの情報」が通知されるのみ。
例えば、「あなたのメアドにパスワード送ったからね」とか「パスワード変
①に近い使われ方も多いんじゃないでしょうか。「秘密の質問」は本人確認の手段として使われていて、秘密の質問に答えられた人は「本人」として扱われ、登録メールアドレスの変更、パスワードの変更などの権限を与えてしまう、というケースも多いように思います。
例えば、こことか登録メールアドレスを忘れていても、パスワードの再設定ができるようです。http://help.rakuten.co.jp/mw/?hid=51 [rakuten.co.jp]
過去にはこんなこともhttp://security.srad.jp/story/11/01/18/0828241/%E3%83%91%E3%82%B9%E3%8... [srad.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
サービス提供側が「役に立たない使い方」をしてるだけに見える (スコア:1)
サービス側が「秘密の質問」をどんな用途で使ってるか次第で、まったく様相は変わってきませんかね。
①「秘密の質問」がパスワードと同等に機能する。
つまり、入力すると、パスワード認証した場合と同じ権限でセッションが張られる。
⇒記事の通り。ただし、これは「役立たず」というものではなく、明らかに不都合のあるセキュリティホール。
こんな阿呆なWebサイト、今のところ見たことありませんが。
②「秘密の質問」を入力しても権限は得られず、正規ユーザに向けて「何かの情報」が通知されるのみ。
例えば、「あなたのメアドにパスワード送ったからね」とか「パスワード変
Re:サービス提供側が「役に立たない使い方」をしてるだけに見える (スコア:0)
①に近い使われ方も多いんじゃないでしょうか。
「秘密の質問」は本人確認の手段として使われていて、秘密の質問に答えられた人は「本人」として扱われ、登録メールアドレスの変更、パスワードの変更などの権限を与えてしまう、というケースも多いように思います。
例えば、
こことか登録メールアドレスを忘れていても、パスワードの再設定ができるようです。
http://help.rakuten.co.jp/mw/?hid=51 [rakuten.co.jp]
過去にはこんなことも
http://security.srad.jp/story/11/01/18/0828241/%E3%83%91%E3%82%B9%E3%8... [srad.jp]