アカウント名:
パスワード:
パスワードという機微情報にあれこれ口出しされるのは良い気分がしない。プライベートゾーンにぺたぺた触られる感じ。いくらブラウザ上で照合しているから安全だと言われても、それを開発者ツールで毎回確認するなんて手間は取れないし。不正利用補償の義務を負う金融機関ですらここまでやる例は聞かないのに、pixiv程度の少額決済サービスでここまでやる必要性って?悪意のある利用者を弾くならわかるけど、善意の利用者を弾く仕組みだよね、これ。「パスワードリスト攻撃でアカウント情報が漏洩したらブランドイメージに傷が付きます」とでも言って上を説得したんだろうか。昨年、度重なるUI改悪で炎上 [twitter.com]したのもそうだけど、社内で仕事にあぶれた技術者が余計な仕事を作り出してる気がする。
> いくらブラウザ上で照合しているから安全だと言われても、
誰がそんなこと言ってるの? どう考えても平文で送信されたパスワードをサーバー側で照合してるんだけど。
ああ、すみません。HIBPのAPIは原理上ブラウザ上で照合が完結するから、そういう実装になっているものだと思い込んでました。実際のpixivは平文のパスワードを送信させて、サーバ側でハッシュ化したHIBPのリストに照会を掛けてるようですね。
ログインのたびに10GB以上あるデータをダウンロードするのはいくら何でも富豪的すぎるだろ。
23KBで済みますよ?https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]
ごめん、ハッシュの先頭5桁をサーバーに送っておいて「ブラウザ上で照合」と表現しているとは想像もつかなかった。ほとんど嘘なのでは
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
やりすぎでは? (スコア:0)
パスワードという機微情報にあれこれ口出しされるのは良い気分がしない。プライベートゾーンにぺたぺた触られる感じ。
いくらブラウザ上で照合しているから安全だと言われても、それを開発者ツールで毎回確認するなんて手間は取れないし。
不正利用補償の義務を負う金融機関ですらここまでやる例は聞かないのに、pixiv程度の少額決済サービスでここまでやる必要性って?
悪意のある利用者を弾くならわかるけど、善意の利用者を弾く仕組みだよね、これ。
「パスワードリスト攻撃でアカウント情報が漏洩したらブランドイメージに傷が付きます」とでも言って上を説得したんだろうか。
昨年、度重なるUI改悪で炎上 [twitter.com]したのもそうだけど、社内で仕事にあぶれた技術者が余計な仕事を作り出してる気がする。
Re:やりすぎでは? (スコア:0)
> いくらブラウザ上で照合しているから安全だと言われても、
誰がそんなこと言ってるの? どう考えても平文で送信されたパスワードをサーバー側で照合してるんだけど。
Re: (スコア:0)
ああ、すみません。
HIBPのAPIは原理上ブラウザ上で照合が完結するから、そういう実装になっているものだと思い込んでました。
実際のpixivは平文のパスワードを送信させて、サーバ側でハッシュ化したHIBPのリストに照会を掛けてるようですね。
Re: (スコア:0)
ログインのたびに10GB以上あるデータをダウンロードするのはいくら何でも富豪的すぎるだろ。
Re: (スコア:0)
23KBで済みますよ?
https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]
Re: (スコア:0)
ごめん、ハッシュの先頭5桁をサーバーに送っておいて「ブラウザ上で照合」と表現しているとは想像もつかなかった。ほとんど嘘なのでは