アカウント名:
パスワード:
以前、 ランダムなID(変更不可)を割り当てれば解決 [security.srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原
> サービス提供者が割り当てたランダムで変更不可なユーザーIDは、利用者にとって暗記しにくいという問題点もありますが、利用登録時にメールや郵送などで受け渡して、紛失しないように手帳・ノートなどに書き留めれることを要求すれば良いだけです。
それってもしかしたらランダムに生成したパスワードをメモに書いておくのと似たようなもん?ランダムじゃないけど割り当てられたユーザ名でloginするのはパソ通では普通だったっけ。
>ID はブラウザに Cookie で記録するような設計にすれば、毎回入力するというユーザーの手間も省けます。I
そうしておくと、ユーザ/パスワードを盗む手間も割と省けるんじゃなかったっけ。#javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。
それってもしかしたらランダムに生成したパスワードをメモに書いておくのと似たようなもん?
そんなもんですね。ただ、IDはIDであってパスワードではない、と言う点には留意したいものです。パスワードはパスワードでランダム生成してメモなりなんなりに保存しましょう。
#javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。
そういう穴もあるかもしれません。でも、それはそれとして穴を塞ぐことを考えましょう。IDとパスワードをどのようにしたところで、穴が開けばどうしようもないのはどうしようもない事ですから。
>#javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。クロスサイトスクリプティング関係のデモだった気がします。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
ID を使いまわさないよう事業者に呼びかけるべき (スコア:5, 参考になる)
以前、 ランダムなID(変更不可)を割り当てれば解決 [security.srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原
Re:ID を使いまわさないよう事業者に呼びかけるべき (スコア:1)
> サービス提供者が割り当てたランダムで変更不可なユーザーIDは、利用者にとって暗記しにくいという問題点もありますが、利用登録時にメールや郵送などで受け渡して、紛失しないように手帳・ノートなどに書き留めれることを要求すれば良いだけです。
それってもしかしたらランダムに生成したパスワードをメモに書いておくのと似たようなもん?
ランダムじゃないけど割り当てられたユーザ名でloginするのはパソ通では普通だったっけ。
>ID はブラウザに Cookie で記録するような設計にすれば、毎回入力するというユーザーの手間も省けます。I
そうしておくと、ユーザ/パスワードを盗む手間も割と省けるんじゃなかったっけ。
#javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。
Re: (スコア:0)
それってもしかしたらランダムに生成したパスワードをメモに書いておくのと似たようなもん?
そんなもんですね。ただ、IDはIDであってパスワードではない、と言う点には留意したいものです。パスワードはパスワードでランダム生成してメモなりなんなりに保存しましょう。
#javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。
そういう穴もあるかもしれません。でも、それはそれとして穴を塞ぐことを考えましょう。IDとパスワードをどのようにしたところで、穴が開けばどうしようもないのはどうしようもない事ですから。
Re: (スコア:0)
>#javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。
クロスサイトスクリプティング関係のデモだった気がします。