アカウント名:
パスワード:
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。いや平文で保存しているかどうかはこれではわからんでしょ。アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)でありダメくせぇなこれwww
確かにこれは書き方がよくないですね「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので,そう書かないといけないですね
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?パスワードを平文に復元できなければ安全ではないのでパスワードを平文に復元できるから危険でもないですよね?
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
普通がなにかわからないけど、普通がそうってだけで不可逆を仕様にしてしまうのは危険ですね。
そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
そして不可逆なら戻せないからパスワードがわからないと思ってしまう。とても危険です。
可逆でも漏れても大丈夫な方法はあるし不可逆でも大丈夫でない方法はあるのでご注意を。
ちょっと、この人大丈夫?その考えはかなり無知であり危険で、その手の業務を任せられないと言わざるをえない。
>普通がなにかわからない
いままで「パスワードが漏洩した」事件のほぼ全てが可逆なシステムからでした。よって不可逆にすることで漏洩の可能性を何万倍にも薄めることができています。可逆より不可逆のほうが圧倒的に採用例が多いので「普通」です。
>可逆でも漏れても大丈夫な方法はある
そういう方法があれば採用すればいいが、その方法を使うことが可逆にしておく理由にはならない。どっちもやればいい。返答になっていない。
いままで「パスワードが漏洩した」事件のほぼ全てが可逆なシステムからでした。
いや、不可逆もありますし、平文もありましたよ。とくにパスワードが漏えいして且つ利用可能なものは平文だったので「ほぼ全てが可逆なシステム」ではなかったはずです。
可逆より不可逆のほうが圧倒的に採用例が多いので
1行目ではほぼ全てが可逆3行目になると圧倒的に採用例が多い。
そういう方法があれば採用すればいいが、その方法を使うことが可逆にしておく理由にはならない。
要件・要求次第です。
「可逆にしておく理由」は述べていません。可逆だから危険、不可逆だから危険ではないというだけです。
>可逆だから危険、不可逆だから危険ではないというだけです。可逆だから安全、不可逆だから危険ではないというだけです。
>可逆だから危険、不可逆だから危険ではないというだけです。
可逆で駄目だったけど不可逆だったから助かったというケースは多く存在しえますが、不可逆で駄目だったけど可逆だったから助かったというケースは存在しません。つまり、可逆なシステムと不可逆なシステムを比較した場合、常に不可逆なシステムの方がマシです。しかも誤差レベルの話ではなく有意にマシです。
不可逆なシステムが常にあらゆる危険に対して安全であるのかどうかについては、この場合全く関係ありません。北朝鮮が核を撃ってきたらみんな死ぬんだからというのは目の前を戸締まりしない理由にはなりません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
平文で保存してるかどうかはわからんのでは。 (スコア:0)
> Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。
いや平文で保存しているかどうかはこれではわからんでしょ。
アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。
…と思ったけど
> また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)であり
ダメくせぇなこれwww
Re: (スコア:-1, オフトピック)
確かにこれは書き方がよくないですね
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので,そう書かないといけないですね
Re: (スコア:0)
「サービス提供者がパスワードを平文に復元できる形で保存している」ことが問題なので
どう問題ですか?
パスワードを平文に復元できなければ安全ではないので
パスワードを平文に復元できるから危険でもないですよね?
Re: (スコア:1)
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
Re: (スコア:-1)
普通は不可逆(平文に戻せない)な形で保存しとくんですよ。
普通がなにかわからないけど、
普通がそうってだけで不可逆を仕様にしてしまうのは危険ですね。
そうしとくと、万が一ユーザーマスタが外部に漏れてもパスワードはわからないから。
そして不可逆なら戻せないからパスワードがわからないと思ってしまう。
とても危険です。
可逆でも漏れても大丈夫な方法はあるし
不可逆でも大丈夫でない方法はあるのでご注意を。
Re: (スコア:0)
ちょっと、この人大丈夫?
その考えはかなり無知であり危険で、その手の業務を任せられないと言わざるをえない。
>普通がなにかわからない
いままで「パスワードが漏洩した」事件のほぼ全てが可逆なシステムからでした。
よって不可逆にすることで漏洩の可能性を何万倍にも薄めることができています。
可逆より不可逆のほうが圧倒的に採用例が多いので「普通」です。
>可逆でも漏れても大丈夫な方法はある
そういう方法があれば採用すればいいが、
その方法を使うことが可逆にしておく理由にはならない。
どっちもやればいい。
返答になっていない。
Re:平文で保存してるかどうかはわからんのでは。 (スコア:0)
いままで「パスワードが漏洩した」事件のほぼ全てが可逆なシステムからでした。
いや、不可逆もありますし、平文もありましたよ。
とくにパスワードが漏えいして且つ利用可能なものは平文だったので
「ほぼ全てが可逆なシステム」ではなかったはずです。
可逆より不可逆のほうが圧倒的に採用例が多いので
1行目ではほぼ全てが可逆
3行目になると圧倒的に採用例が多い。
そういう方法があれば採用すればいいが、
その方法を使うことが可逆にしておく理由にはならない。
要件・要求次第です。
「可逆にしておく理由」は述べていません。
可逆だから危険、不可逆だから危険ではないというだけです。
Re: (スコア:0)
>可逆だから危険、不可逆だから危険ではないというだけです。
可逆だから安全、不可逆だから危険ではないというだけです。
Re: (スコア:0)
>可逆だから危険、不可逆だから危険ではないというだけです。
可逆で駄目だったけど不可逆だったから助かったというケースは多く存在しえますが、不可逆で駄目だったけど可逆だったから助かったというケースは存在しません。
つまり、可逆なシステムと不可逆なシステムを比較した場合、常に不可逆なシステムの方がマシです。
しかも誤差レベルの話ではなく有意にマシです。
不可逆なシステムが常にあらゆる危険に対して安全であるのかどうかについては、この場合全く関係ありません。
北朝鮮が核を撃ってきたらみんな死ぬんだからというのは目の前を戸締まりしない理由にはなりません。