パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表」記事へのコメント

  • 同じくITmediaだけどこちら [itmedia.co.jp]の方が詳しそう?
    データの構造化はしていただろうから、「パスワードも含まれる」じゃなくて
    「パスワードも含めてた」だと思われる。
    もはやパスワードを平文で送信することが脆弱性になりそう。
    ブラウザの段階で適当にハッシュ化されるようになったりして。

    • by Anonymous Coward

      なんでhtmlのformにpasswordのinputを作った時点で何かしらハッシュを送信するようにしなかったのか不思議でならない。
      まぁ当時ならsaltなしで弱いハッシュ関数を一回分とかになっていただろうけどそうだとしてもhtml5ができた頃には、そこそこまともなハッシュ関数とストレッチングのサポート・セキュリティ警告・多重ハッシュ(サーバー側にはハッシュ化済みのパスワードしかないはずなので)、程度には改良されていたはず。
      少なくとも平文が漏れ出すとか使いまわしが問題になるとかはかなり少なかったでしょ。

      別に今ならJavaScriptでハッシュ関数にかけるくらいできるけどね。

      • by Anonymous Coward

        なんでhtmlのformにpasswordのinputを作った時点で何かしらハッシュを送信するようにしなかったのか不思議でならない

        意味がないから。
        送られてたもの保存してたら平文と違い何もないじゃん。

        • by Anonymous Coward on 2019年03月23日 22時12分 (#3586064)

          これ、
          少なくないユーザーが他のサービスでもパスワードを使いまわしてるから、平文が漏れるのとハッシュが漏れるのとではダメージが違う、という事らしいよ。

          親コメント
          • by Anonymous Coward

            そのままサーバに保存してたら既にそこの会社の従業員にパスワードが漏れてることにならないか。
            facebookみたいなとこだと、他社システムの認証に使われたりするんだからその考えはやばすぎね?

アレゲは一日にしてならず -- アレゲ見習い

処理中...