アカウント名:
パスワード:
>管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもの
これが本当なら、なんの目的でこんな作りにしたんだろう。「ソース画面」ってHTMLのソースって意味でいいんだよね?コメントにして画面では非表示にしてたってことなのかな。正直目的がさっぱりわからない。忘れたユーザーに復号して教えてあげるため?それにしてもちゃんとした暗号化すればよかったのに・・・
自分はいつもハッシュ化したものをDBに保存するけど、それを表示するページは作ったことないな。
それにしてもちゃんとした暗号化すればよかったのに・・・
「暗号化したパスワード」をブラウザ側で復号可能であれば、暗号化したところで「ちょっと手間が増えるだけ」程度にしかならない。サーバから復号鍵を受け取るようにすればソースを見ただけでは復号できなくはなるけど、そんなことするならブラウザ側でハッシュと照合するようにした方が楽。
というわけで暗号化したパスワードをブラウザに送るのも無意味な気がするなぁ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
目的はなんだろう (スコア:0)
>管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもの
これが本当なら、なんの目的でこんな作りにしたんだろう。
「ソース画面」ってHTMLのソースって意味でいいんだよね?コメントにして画面では非表示にしてたってことなのかな。
正直目的がさっぱりわからない。忘れたユーザーに復号して教えてあげるため?それにしてもちゃんとした暗号化すればよかったのに・・・
自分はいつもハッシュ化したものをDBに保存するけど、それを表示するページは作ったことないな。
Re:目的はなんだろう (スコア:0)
それにしてもちゃんとした暗号化すればよかったのに・・・
「暗号化したパスワード」をブラウザ側で復号可能であれば、暗号化したところで「ちょっと手間が増えるだけ」程度にしかならない。
サーバから復号鍵を受け取るようにすればソースを見ただけでは復号できなくはなるけど、そんなことするならブラウザ側でハッシュと照合するようにした方が楽。
というわけで暗号化したパスワードをブラウザに送るのも無意味な気がするなぁ