アカウント名:
パスワード:
平文で保存しておいて表示なんてせずに、単に身元確認の上で再発行するものだけど。顧客に手間のかかる手段は提供できないとかそんな理由で妥協案を採用したんだろうな。スラドでもリスクと天秤でノーガードもありとか言う人は絶えないし、いつになったらセキュリティ意識が浸透するのやら…
居ますね。
要求仕様策定段階ではちゃんとハッシュ保持となっていてその通りに実装したのに、運用始めたらそういうクレームが来て、その対応のためにDBの別カラムに生パスワードも保存するように改修したことがあります。
「認証にハッシュ使うのやめて生パスワード使います」って仕様変更だとツッコミを受けやすいですが、認証処理そのものはハッシュ使ってるまま、ということでさらりと追加仕様を通しました。意味ねー
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
セキュリティ原則を知らない現場と経営の悪魔合体だな (スコア:0)
平文で保存しておいて表示なんてせずに、単に身元確認の上で再発行するものだけど。
顧客に手間のかかる手段は提供できないとかそんな理由で妥協案を採用したんだろうな。
スラドでもリスクと天秤でノーガードもありとか言う人は絶えないし、いつになったらセキュリティ意識が浸透するのやら…
Re: (スコア:0)
Re:セキュリティ原則を知らない現場と経営の悪魔合体だな (スコア:1)
居ますね。
要求仕様策定段階ではちゃんとハッシュ保持となっていてその通りに実装したのに、運用始めたらそういうクレームが来て、
その対応のためにDBの別カラムに生パスワードも保存するように改修したことがあります。
「認証にハッシュ使うのやめて生パスワード使います」って仕様変更だとツッコミを受けやすいですが、
認証処理そのものはハッシュ使ってるまま、ということでさらりと追加仕様を通しました。意味ねー