パスワードを忘れた? アカウント作成

フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果」記事へのコメント

  • by Anonymous Coward on 2019年03月11日 17時55分 (#3578788)

    安全に保管しろと言われててやってない奴は論外としても
    お金をいくら積まれようが指示が無いことまで勝手にやるべきじゃないから、
    開発者としての腕だの倫理観だのそんなこととは無関係な気がする。

    通常の業務であれば真っ先に要件定義の段階で聞く内容だけど、
    この実験では発注以後の納品までコミュニケーションはたぶんないんでしょ?

    発注側は発注時に気をつけろってことを言いたいんだろうか。

    ここに返信
    • by Anonymous Coward on 2019年03月11日 20時11分 (#3578908)

      CoCo壱なら、カレーにはスプーンがついてくるのは常識であって、個別に注文する必要があるものではない。
      しかし本格的なカレー店では、もしかしたらスプーンがついてこないかも知れない。
      # 手で食ってるところに、インド人の店長が申し訳なさそうにスプーンを持って来るまである。

      一般的に
      「××には○○するのは常識であって、個別に注文しなければならないものではない」
      ってのは往々にしてあるよね。

      今回、パスワードに関してはハッシュはセットではなくオプションである、と考える技術者が
      少なくない事が分かったのは、とても興味深い事だと思う。
      「そうあるべきである」「いやそれじゃイカンでしょ」と議論するのはこれからだね。

      • by Anonymous Coward

        パスワードを保存するという要件でハッシュだけを保存したらいかんでしょ。
        パスワードとハッシュの両方を保存するならまだしも。
        あなたの例えで言うなら、カレーを注文したらカレーではなくスプーンだけ出てきたようなもの。

        • by Anonymous Coward

          こういうコミュ障みたいな人が居るから、依頼する時は注意しましょう、ってのが結果かな。
          10,000円でWeb登録フォーム作ってなんて、「よしなに作ってくれ」って意味だから、常識的に作ればいいんだよ。

          • by Anonymous Coward

            依頼時、8割に辞退されたわけで、依頼するとき常識的な金額を提示しないとこうなりますよ。ということでは?

          • by Anonymous Coward

            >10,000円でWeb登録フォーム作ってなんて、「よしなに作ってくれ」って意味だから、
            これ自体があなたの思い込みでしかない件。

          • by Anonymous Coward

            >10,000円でWeb登録フォーム作ってなんて、「よしなに作ってくれ」

            これは、常識的に考えたら、「私はアホな客なので相手にしてはダメですよ」と読めばいいんだよね?

    • Re: (スコア:0, 参考になる)

      by Anonymous Coward

      > この実験では発注以後の納品までコミュニケーションはたぶんないんでしょ?
      違う。論文読め。

      > 発注側は発注時に気をつけろってことを言いたいんだろうか。
      違う。論文読め。

      • Re: (スコア:0, フレームのもと)

        by Anonymous Coward

        面倒、
        研究者ならともかく、雑談サイトでそこまで要求されても。

      • by Anonymous Coward

        で、どういう結論なのさ。

      • by Anonymous Coward

        情報ゼロのこのコメントがなぜプラスモデされるのか。

      • by Anonymous Coward

        >>発注以後の納品までコミュニケーションはたぶんないんでしょ?
        >違う。論文読め。

        アブストに書いてないようですが。英語を本文全部読めと?
        主眼はコミュニケーションじゃないようですが。

        • by Anonymous Coward

          検索って使ったことない?

    • by Anonymous Coward

      書いてないことを勝手にやってくれなかったって言う結果に何の意味があるのか分かんないですよね

      やりがい搾取したいのかな

      • by Anonymous Coward on 2019年03月11日 22時27分 (#3578998)

        「指示されなかったからやらなかったもーん」とか言っても裁判所には通じないみたいだよ
        https://security.srad.jp/story/15/01/22/0819244/ [security.srad.jp]

        • by Anonymous Coward

          詳報に書かれてますが、その件は裁判所が温情判決をしてくれてるんですよ。
          >暗号化の設定内容等は暗号化の程度によって異なり,それによってYの作業量や代金も増減すると考えられることに照らすと,
          >契約で特別に合意していなくとも,当然に,Yがクレジットカード情報を本件サーバー及びログに保存せず,
          >若しくは保存しても削除する設定とし,又はクレジットカード情報を暗号化して保存すべき債務を負っていたとは認められない。

          >さらに,裁判所は,Yが主張していない過失相殺について踏み込んだ判断をした。

          被告は主張しなかったけど原告にも過失があると認めたという話です。

    • by Anonymous Coward

      パスワードのハッシュ化を言われないとやらないようなエンジニアは使うなってことじゃね。
      もしくは世の中その程度のエンジニアであふれかえってると言いたいか。

      • by Anonymous Coward

        パスワードを保存する事が要件ならハッシュ化したらパスワードは失われるから問題外

        • by Anonymous Coward

          Abstractにはwrite code that stores passwords securelyとあるね。
          確かにハッシュを保存しただけだとパスワードを保存してない。指示に問題がある?

          • by Anonymous Coward on 2019年03月12日 1時43分 (#3579089)

            パスワードのハッシュ化は漏洩や内部関係者の悪用に対するセーフティであって、セキュアな保存とは違うと言われれば違うしなあ
            英語でも言葉に開発の落とし穴はあるのか

          • by Anonymous Coward

            「パスワードを安全に管理したい」と言われちゃうと通常の利用局面はともかく、
            メンテ的にパスワードを引き出せないといけないんじゃないかと思っちゃう可能性は否定できない。

          • by Anonymous Coward

            "write code that stores passwords securely"って指示されたら。
            なーんも考えず第一印象としちゃ「例えばだけど、公開鍵暗号かけたいの?」って考えちゃいますねぇ。

      • by Anonymous Coward

        漏れる可能性が高いんですね
        わかります

    • by Anonymous Coward

      このコメントはなぜ荒らしモデがついているのでしょうか??

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...