アカウント名:
パスワード:
直ちに修正せよ。
「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。
簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。
それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合…例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。何を不快に感じるかは人それぞれなので、どんなに
> サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため
こんなことを規定している法律なんてありましたか?それとも内輪のオレオレルールですか?
暗証番号紛失時、サービス側の過失を問われたときに裁判で負けたくなければ、証跡を残すしかないよ。
例えば、免許証の暗証番号が印刷されるのも、同じ理由。
つまりオレオレルールの押し付けですね。あなたのルールより、利用者の安全のほうが大事だと、私は考えます。
>利用者の安全のほうが大事だと、私は考えます。それもオレオレルールじゃないか。
#その辺りは単純なコスト問題に帰結する
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:0)
直ちに修正せよ。
Re: (スコア:2, 興味深い)
「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。
簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。
サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、
「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。
ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。
それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合
…例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。
何を不快に感じるかは人それぞれなので、どんなに
Re: (スコア:0)
> サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため
こんなことを規定している法律なんてありましたか?
それとも内輪のオレオレルールですか?
Re: (スコア:1)
暗証番号紛失時、
サービス側の過失を問われたときに裁判で負けたくなければ、
証跡を残すしかないよ。
例えば、免許証の暗証番号が印刷されるのも、同じ理由。
Re:ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:0)
つまりオレオレルールの押し付けですね。
あなたのルールより、利用者の安全のほうが大事だと、私は考えます。
Re: (スコア:0)
>利用者の安全のほうが大事だと、私は考えます。
それもオレオレルールじゃないか。
#その辺りは単純なコスト問題に帰結する