パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GoogleカレンダーのHTMLソースに氏名とメールアドレス」記事へのコメント

  • まだ良く理解してないので「もしかして」ベースでしか言えませんが、

    いわゆる「ステートフルなWebアプリ」な
    開発形態やFrameworkが普及すると、
    このてのミスも減ってくる、のではないでしょうか?

    というのは、こういう
    「見せないけど実はHTMLに紛れさせてる情報」の類を
    サーバ側のステートの一部として
    容易に管理できるようなアプリ構成/FWになっていれば、
    わざわざそれをHTMLにも書き出そうなどと思う人はいなくなるだろうから、です。

    GUIアプリを作ってたころ、
    パスワとかを変数に格納することはあっても、
    それを必要もないのにGUIコ
    • Re: (スコア:1, 参考になる)

      by Anonymous Coward
      とりあえずセッション管理とかがちゃんとしてたら普通はしないことをしていたというのが問題ではないのかな。

      #元コメントの人は、WEB関連の開発をしたことがないのでしょうけど
      #何でこんな話が無くならないのかは、HTMLを使って認証機能を作ってみるのがいいですよ
      #HTMLやブラウザやURL(URI)にパスワードとIDを保存しないまま、画面が変わる度にどうやって
      #認証し、セッションを維持するのか等、面白い経験を出来ますよ。

      #単体アプリケーションならIDとパスワードなんて認証が終わったら捨ててもいいかもしれないデータですしね。。。
      • by Anonymous Coward on 2008年11月26日 13時32分 (#1462122)
        私ならパスワードの一方向ハッシュを取って、
        それをクッキー(inputのhiddenでも別によさげ)にでも保持させると思います。
        これだと問題はあるのでしょうか。
        親コメント
        • by Anonymous Coward on 2008年11月26日 13時37分 (#1462124)
          再送攻撃されたら意味ないかな。
          その場合だと再送攻撃対策としてhttps必須だよね。
          普通はハッシュだけでなく多層に防衛策を講じるよね。
          親コメント
          • by Anonymous Coward
            SSL+ハッシュが基本、くらいの感覚でいいですかね。
            で、要件に合わせてより高度に暗号化という感じで。

            Webセキュリティの常識みたいなものって、
            あまり教わる機会がなかったりしますね。
        • by Anonymous Coward
          同じパスワードを使っているユーザーがいない前提ですか?
        • by Anonymous Coward
          パスワードを生で送るのと、ハッシュ化されたパスワードを生で送るのとでは
          どれくらいセキュリティ的に強くなるんですか?
          ほとんど変わらない気がしますが。

          • by Anonymous Coward
            精神的にパスワードが守られている気分にさせてくれます。
          • by Anonymous Coward
            経路の暗号化をしない場合は、
            単純にHTMLのソースやCookieを見てもパスワードがわからない、
            という効果があるね。
            • by Anonymous Coward
              どっちにつけようか迷ったけど、わかってなさそうなほうに付けちゃう。

              ハッシュされたパスワードをクッキーに入れておいて、
              セッション毎にそれをサーバ側のパスワードをハッシュしたものと
              比較することで認証すると言っているのだから、事実上、
              パスワードを流しているようなものなんだよね。

              そのハッシュ化されたパスワードを盗んで、クッキーに入れれば
              第三者がアクセスできるよね。

              他の人がコメントしてるように、同じパスワードをあちこちで使った
              ときに、別のサイトのパスワードまでは盗まれないという効果しか
              ないんじゃないかな。

              ランダムな文字列を使ったセッションキーを認証後に発行して
              クッキーに食わせておいた方が、パスワードをハッシュしたモノを
              食わせておくよりナンボかましだと思う。
              ちゃんとsrc ipaddrは覚えておいて、かつキーもちゃんと削除
              しないとだめだし、最初の認証でパスワードを盗まれたら同じだけど。

              • by Anonymous Coward
                んーと元コメのACですが、生パスワードがばれない程度の効果がある、
                といいたかっただけなんで、おおむね同意です。
          • by Anonymous Coward
            クライアントからサーバへならば、通信途中やサーバ側では生のパスワードを知ることが出来なくなる。
            これだと盗み見られても正規の手段(ログイン画面でパスワード入力するとか)で成りすまされることはない。
            それに同じパスワードを複数箇所で使用していたとして、その内一つから漏れても軒並みアウトにはならない。
            また盗聴対策でTSLを使っても生パスワードをサーバに送る以上サーバロジック上は見えるのだから、通信中でなくサーバ上で盗まれる可能性は残る。ハッシュ値だと盗まれても生パスワードは知られることはない(はず)

            サーバからクライアントならばそもそも論外。

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...