アカウント名:
パスワード:
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。いや平文で保存しているかどうかはこれではわからんでしょ。アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)でありダメくせぇなこれwww
確かにこれは書き方がよくないですね「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので,そう書かないといけないですね
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?パスワードを平文に復元できなければ安全ではないのでパスワードを平文に復元できるから危険でもないですよね?
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
普通がなにかわからないけど、普通がそうってだけで不可逆を仕様にしてしまうのは危険ですね。
そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
そして不可逆なら戻せないからパスワードがわからないと思ってしまう。とても危険です。
可逆でも漏れても大丈夫な方法はあるし不可逆でも大丈夫でない方法はあるのでご注意を。
> 可逆でも漏れても大丈夫な方法はあるし
原理的にないぞ。パスワードが正しければ本人だという前提があるんだから。
> 不可逆でも大丈夫でない方法はある
それは可逆暗号化したパスワードでも大丈夫ではない場合に限られる。生兵法をやめろ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
平文で保存してるかどうかはわからんのでは。 (スコア:0)
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。
いや平文で保存しているかどうかはこれではわからんでしょ。
アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど
> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)であり
ダメくせぇなこれwww
Re: (スコア:-1, オフトピック)
確かにこれは書き方がよくないですね
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので,そう書かないといけないですね
Re: (スコア:0)
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?
パスワードを平文に復元できなければ安全ではないので
パスワードを平文に復元できるから危険でもないですよね?
Re: (スコア:1)
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
Re: (スコア:-1)
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
普通がなにかわからないけど、
普通がそうってだけで不可逆を仕様にしてしまうのは危険ですね。
そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
そして不可逆なら戻せないからパスワードがわからないと思ってしまう。
とても危険です。
可逆でも漏れても大丈夫な方法はあるし
不可逆でも大丈夫でない方法はあるのでご注意を。
Re:平文で保存してるかどうかはわからんのでは。 (スコア:0)
> 可逆でも漏れても大丈夫な方法はあるし
原理的にないぞ。パスワードが正しければ本人だという前提があるんだから。
> 不可逆でも大丈夫でない方法はある
それは可逆暗号化したパスワードでも大丈夫ではない場合に限られる。
生兵法をやめろ。