パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す」記事へのコメント

  • PCのWebブラウザでパスワードを変更して
    iOS側も変更しなきゃなあと思いTwitterアプリを起動したら
    パスワードが同期されていて普通に起動したこと

    アプリ連携が動作していたので同期されたんだろうなあってことに・・・
    なんか怖かった
    • by Anonymous Coward on 2018年05月05日 15時02分 (#3402957)

      Twitterの公式アプリは、「パスワードが一回入力されたら、そこからAPIトークンを発行して以後はそれを使う(APIトークンは https://twitter.com/settings/applications [twitter.com] から取り消したりアカウントを消去などのことをしない限りパスワードを変えたりしても一生使える)」という実装なはずなので、パスワードがアプリ内で保持されているわけでも変更したパスワードがアプリに同期されているわけでもないはずです。

      親コメント
      • 勉強になります

        逆にこのようなAPIトークンを実装しているソフトが少ない印象を受けました
        親コメント
      • by Anonymous Coward on 2018年05月06日 1時12分 (#3403221)

        まともなサービスはそういう実装してるはずだけど、割と普通にローカルにパスワード保存してるアプリあるのよね・・・
        Twitterなんかはアプリ開くと基本すでにログイン状態のようなもので、入力は求められないけど、
        その都度入力を要求する作りのアプリとか、TouchIDで認証求めてパスした後に、パスワードを自動入力する、という実装。
        特に日本の(ITじゃない)大企業のアプリはどれもひどいね。WebView多用だし。

        親コメント
        • by Anonymous Coward

          まともなサービスはそういう実装してるはずだけど、割と普通にローカルにパスワード保存してるアプリあるのよね・・・

          日本国内の某IT系企業にいますが、業務システム刷新のときに「パスワードはハッシュ化して保存しなくていいんですか?」って上長に聞いても「え?なんで?暗号化すればいいでしょ?」だったからなぁ。

          # そのシステムで顧客ユーザーの信用情報とかマイナンバーとか扱ってる会社なのでAC

          • by Anonymous Coward

            ハッシュ化と暗号化が別物であると分かってもらえてるだけまだマシですよ…。

            # 当然AC

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...