アカウント名:
パスワード:
新しいパスワードを安全に受け付けるシステムを作るのが面倒臭いんだろうが、なら再生成受付だけの機能にしてはどうか。メールアドレスを入れるとトークン付き再設定リンクが送られて、飛ぶと再生成した新しいパスワードが表示されるだけ。要は本人以外に窃取されなければ良いんだ。
いや〜、開発側がセキュアなパスワード変更機能をちゃんと実装しておいても、コキャクから「パスワードは変更できないようにしてくれ」って要望が来てオミットしたりするんですよ……。(愚痴)このシステムはしらないけど。
パスワード忘れたときのために非ハッシュで保存しておいて読めるようにしてくれと何度も何度も言われて諦めたことあるわ…社内システムだったし…
結構あるあるだよね。非ハッシュ保存もそうだけど、平文SMTPでパスワード送ることすら、どれだけ説明しても何故駄目なのか理解できない。
SMTPって原則平文ですよ→そーなんだーでもこっちと相手のサーバだけの通信だから大丈夫じゃん?→盗聴し放題ですよ→盗聴なんてそうそう起こることじゃないでしょーそんな大げさなー→下手すりゃ途中の経路のご近所に鯖乗っ取られる馬鹿がいただけでアウトですよ→えーでもそんな話聞いたことないしー→実際割とよくある話ですよ→うっせえないいから黙ってやれよ→私が問題点を指摘したということを議事録に残して頂けるならやります
あるよね?
ほんとあいつらSE名乗らないで欲しい…。つーか業界にいないで欲しい…。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
リセット機能追加辺りでどうか (スコア:0)
新しいパスワードを安全に受け付けるシステムを作るのが面倒臭いんだろうが、なら再生成受付だけの機能にしてはどうか。
メールアドレスを入れるとトークン付き再設定リンクが送られて、飛ぶと再生成した新しいパスワードが表示されるだけ。
要は本人以外に窃取されなければ良いんだ。
Re:リセット機能追加辺りでどうか (スコア:0)
いや〜、開発側がセキュアなパスワード変更機能をちゃんと実装しておいても、コキャクから「パスワードは変更できないようにしてくれ」って要望が来てオミットしたりするんですよ……。(愚痴)
このシステムはしらないけど。
Re: (スコア:0)
パスワード忘れたときのために非ハッシュで保存しておいて読めるようにしてくれ
と何度も何度も言われて諦めたことあるわ…
社内システムだったし…
Re: (スコア:0)
結構あるあるだよね。
非ハッシュ保存もそうだけど、平文SMTPでパスワード送ることすら、どれだけ説明しても何故駄目なのか理解できない。
SMTPって原則平文ですよ→そーなんだーでもこっちと相手のサーバだけの通信だから大丈夫じゃん?
→盗聴し放題ですよ→盗聴なんてそうそう起こることじゃないでしょーそんな大げさなー
→下手すりゃ途中の経路のご近所に鯖乗っ取られる馬鹿がいただけでアウトですよ→えーでもそんな話聞いたことないしー
→実際割とよくある話ですよ→うっせえないいから黙ってやれよ
→私が問題点を指摘したということを議事録に残して頂けるならやります
あるよね?
ほんとあいつらSE名乗らないで欲しい…。つーか業界にいないで欲しい…。