アカウント名:
パスワード:
直ちに修正せよ。
「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。
簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。
それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合…例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。何を不快に感じるかは人それぞれなので、どんなに
> サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため
こんなことを規定している法律なんてありましたか?それとも内輪のオレオレルールですか?
暗証番号紛失時、サービス側の過失を問われたときに裁判で負けたくなければ、証跡を残すしかないよ。
例えば、免許証の暗証番号が印刷されるのも、同じ理由。
補足:万が一、免許証の暗証番号が警察のミスで正しく設定されていなかった場合、印刷された暗証番号は、警察の過失を問う重要な証拠となります。
警察がなぜ、自分たちの過失を問うための証拠を残す必要があるの?「サービス側の過失を問われたときに裁判で負けたくなければ、」はこの場合のサービス側は警察だよね?
あと印刷はしても、暗証番号は設定されていない場合があったとして、印刷された暗証番号はサービス側の何の役に立つの?
免許証の場合、暗証番号が正しく設定されているかどうかは、確認してね、と言われて、端末で確認したような。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:0)
直ちに修正せよ。
Re: (スコア:2, 興味深い)
「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。
簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。
サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、
「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。
ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。
それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合
…例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。
何を不快に感じるかは人それぞれなので、どんなに
Re: (スコア:0)
> サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため
こんなことを規定している法律なんてありましたか?
それとも内輪のオレオレルールですか?
Re: (スコア:1)
暗証番号紛失時、
サービス側の過失を問われたときに裁判で負けたくなければ、
証跡を残すしかないよ。
例えば、免許証の暗証番号が印刷されるのも、同じ理由。
Re:ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:0)
補足:万が一、免許証の暗証番号が警察のミスで正しく設定されていなかった場合、印刷された暗証番号は、警察の過失を問う重要な証拠となります。
Re: (スコア:0)
警察がなぜ、自分たちの過失を問うための証拠を残す必要があるの?
「サービス側の過失を問われたときに裁判で負けたくなければ、」はこの場合のサービス側は警察だよね?
あと印刷はしても、暗証番号は設定されていない場合があったとして、印刷された暗証番号はサービス側の何の役に立つの?
免許証の場合、暗証番号が正しく設定されているかどうかは、確認してね、と言われて、端末で確認したような。