アカウント名:
パスワード:
直ちに修正せよ。
「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。
簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。
それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合…例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。何を不快に感じるかは人それぞれなので、どんなに
> サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため
こんなことを規定している法律なんてありましたか?それとも内輪のオレオレルールですか?
サービス側がパスワードを作るなら、ユーザーがパスワードを受け取るまでの間は、サービス側にそのパスワードを管理する責任が生じるでしょう。これは、ユーザー側がパスワードを決める場合に、ユーザーがパスワードを管理する責任を負う契約文が有効であることの裏返しです。
クレジットカードの更新の際に、転送不要や簡易書留にしている会社があることと同じです。これは、ユーザーが受け取るまで、そのクレジットカードの盗難・紛失に関する責任は、サービス会社側にあるからです。それが、発行した側の責任です。これは、パスワードでも同じです。パスワードを受け取るまでの間に、サービス側とユーザー間の回線断…ごく普通に停電でもいいですが…があったら、当然、その再配布の責任は、サービス側に生じます。だから、再配布できるようにしなければなりません。つまり、生パスワードを保管しておくことが必然的に必要となります。
ただ、そんな責任なんて知らないよ、という会社もあるかもしれません。クレジットカードを転送可で送付する会社もあるにはあるので。そういう意味では、オレオレルールと言えばそうなのでしょう。しかし、それは、ジャイアンのルールを一般的なルールだと主張するくらい不自然な話です。そういう会社は、契約とか責任とかを蔑ろにしていることが明白なので、付き合いたくないですね。
当たり前すぎる話に、わざわざ法律など存在しません。
例えば、願書を簡易書留で送ることは、ごく一般的な行為ですが、これは、願書が出願先に届かなかった場合、出願者側に責任が生じるためです。これも、クレジットカードや本件のパスワードの話と同じ類の話ですが、でも、そんなの決めている法律なんてないですよね?別にいいですよ?そんなのオレオレルールだから、と思って普通郵便で出したって。でも、そんな願書を受け取ってない、と言われて泣き寝入りしたって知りませんよ。
あなたは、そのように、世間知らずがやるように、当たり前の行為にケチをつけています。それをオレオレルールと思うか、一般常識と思うかは、貴方の社会経験次第です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:0)
直ちに修正せよ。
Re: (スコア:2, 興味深い)
「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。
簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。
サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、
「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。
ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。
それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合
…例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。
何を不快に感じるかは人それぞれなので、どんなに
Re: (スコア:0)
> サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため
こんなことを規定している法律なんてありましたか?
それとも内輪のオレオレルールですか?
Re:ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:0)
サービス側がパスワードを作るなら、ユーザーがパスワードを受け取るまでの間は、サービス側にそのパスワードを管理する責任が生じるでしょう。
これは、ユーザー側がパスワードを決める場合に、ユーザーがパスワードを管理する責任を負う契約文が有効であることの裏返しです。
クレジットカードの更新の際に、転送不要や簡易書留にしている会社があることと同じです。
これは、ユーザーが受け取るまで、そのクレジットカードの盗難・紛失に関する責任は、サービス会社側にあるからです。
それが、発行した側の責任です。
これは、パスワードでも同じです。
パスワードを受け取るまでの間に、サービス側とユーザー間の回線断…ごく普通に停電でもいいですが…があったら、
当然、その再配布の責任は、サービス側に生じます。だから、再配布できるようにしなければなりません。
つまり、生パスワードを保管しておくことが必然的に必要となります。
ただ、そんな責任なんて知らないよ、という会社もあるかもしれません。
クレジットカードを転送可で送付する会社もあるにはあるので。
そういう意味では、オレオレルールと言えばそうなのでしょう。
しかし、それは、ジャイアンのルールを一般的なルールだと主張するくらい不自然な話です。
そういう会社は、契約とか責任とかを蔑ろにしていることが明白なので、付き合いたくないですね。
当たり前すぎる話に、わざわざ法律など存在しません。
例えば、願書を簡易書留で送ることは、ごく一般的な行為ですが、
これは、願書が出願先に届かなかった場合、出願者側に責任が生じるためです。
これも、クレジットカードや本件のパスワードの話と同じ類の話ですが、
でも、そんなの決めている法律なんてないですよね?
別にいいですよ?そんなのオレオレルールだから、と思って普通郵便で出したって。
でも、そんな願書を受け取ってない、と言われて泣き寝入りしたって知りませんよ。
あなたは、そのように、世間知らずがやるように、
当たり前の行為にケチをつけています。
それをオレオレルールと思うか、一般常識と思うかは、貴方の社会経験次第です。