アカウント名:
パスワード:
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。いや平文で保存しているかどうかはこれではわからんでしょ。アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)でありダメくせぇなこれwww
確かにこれは書き方がよくないですね「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので,そう書かないといけないですね
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?パスワードを平文に復元できなければ安全ではないのでパスワードを平文に復元できるから危険でもないですよね?
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
普通がなにかわからないけど、普通がそうってだけで不可逆を仕様にしてしまうのは危険ですね。
そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
そして不可逆なら戻せないからパスワードがわからないと思ってしまう。とても危険です。
可逆でも漏れても大丈夫な方法はあるし不可逆でも大丈夫でない方法はあるのでご注意を。
ちょっと、この人大丈夫?その考えはかなり無知であり危険で、その手の業務を任せられないと言わざるをえない。
>普通がなにかわからない
いままで「パスワードが漏洩した」事件のほぼ全てが可逆なシステムからでした。よって不可逆にすることで漏洩の可能性を何万倍にも薄めることができています。可逆より不可逆のほうが圧倒的に採用例が多いので「普通」です。
>可逆でも漏れても大丈夫な方法はある
そういう方法があれば採用すればいいが、その方法を使うことが可逆にしておく理由にはならない。どっちもやればいい。返答になっていない。
ここまで斜め上の勘違いして話についてこれてない馬鹿がスラドに2人もいるとは思えないんだけど自演乙って言えばええん?
しばらく前からスラドのコメント欄で相手に説明させて遊んでるやつの自演だろ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
平文で保存してるかどうかはわからんのでは。 (スコア:0)
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。
いや平文で保存しているかどうかはこれではわからんでしょ。
アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど
> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)であり
ダメくせぇなこれwww
Re: (スコア:-1, オフトピック)
確かにこれは書き方がよくないですね
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので,そう書かないといけないですね
Re: (スコア:0)
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?
パスワードを平文に復元できなければ安全ではないので
パスワードを平文に復元できるから危険でもないですよね?
Re: (スコア:1)
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
Re: (スコア:-1)
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
普通がなにかわからないけど、
普通がそうってだけで不可逆を仕様にしてしまうのは危険ですね。
そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
そして不可逆なら戻せないからパスワードがわからないと思ってしまう。
とても危険です。
可逆でも漏れても大丈夫な方法はあるし
不可逆でも大丈夫でない方法はあるのでご注意を。
Re: (スコア:0)
ちょっと、この人大丈夫?
その考えはかなり無知であり危険で、その手の業務を任せられないと言わざるをえない。
>普通がなにかわからない
いままで「パスワードが漏洩した」事件のほぼ全てが可逆なシステムからでした。
よって不可逆にすることで漏洩の可能性を何万倍にも薄めることができています。
可逆より不可逆のほうが圧倒的に採用例が多いので「普通」です。
>可逆でも漏れても大丈夫な方法はある
そういう方法があれば採用すればいいが、
その方法を使うことが可逆にしておく理由にはならない。
どっちもやればいい。
返答になっていない。
Re: (スコア:0)
面白いのでこっちにもコメント。
#3206346さんは、完全にからかわれていますよ 笑
>可逆より不可逆のほうが圧倒的に採用例が多いので「普通」です。
普通という言い方はよくありませんねぇ。
なぜ、安全なのか説明をしてくださいと言われ、多くのサイトで使われているから安全ですというのは正しくないのは、いうまでもないでしょう。
それは、不可逆が啓蒙される以前にさかのぼった時、同じ回答をして今の有様があるわけですから。
こういう理由から安全だという言い方じゃないといけないわけです。
セキュリティの説明をしている本などでは、いちいち本質的な部分まで解説していません
Re: (スコア:0)
ここまで斜め上の勘違いして話についてこれてない馬鹿がスラドに2人もいるとは思えないんだけど自演乙って言えばええん?
Re:平文で保存してるかどうかはわからんのでは。 (スコア:0)
しばらく前からスラドのコメント欄で相手に説明させて遊んでるやつの自演だろ