アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
パスワードは読取れてはいけない (スコア:5, すばらしい洞察)
パスワードって復号できない様にしておくものじゃないのかい?
内部犯行を防止する為にも可能なハードルはできるだけ置いておくものだろうに。
#暗号化したものが一致すれば良いので復号する必要は無い。
Re:パスワードは読取れてはいけない (スコア:1, 興味深い)
ただ、設計・開発・運用保守の包括的な視野が無いと形骸化しちゃったり。
・ハッシュ値の計算方法を知っている内部攻撃者
・パスワードは必ず数字4桁と決まっている
・誰でも全てのデータをエクスポート出来る
という条件だと、ハードルらしいハードルにならなかったりする。
(さすがに極端な事例だろうけど)
だから
・開発情報を知る人間と、本番データを知る人間を分ける
・運用者自体の認証、権限切り分け、引き出し範囲の制限
・事故時のトレーサビリティ、ログの保全
・上記を最初から考慮した設計がなされている
単に「セキュリティを高める」「ハードルならなんでも置け」ではなく、
「具体的リスクを減らす」場合によっては「リスクを受容する」という、
コストや利便性との折り合いをつける視点が必要だよね。