アカウント名:
パスワード:
アメブロの騒動、あとからおいついたので現物見てませんが、状況から見てIDとパスワードが平文で保存されてたってことでしょうな。時折サービス登録するとパスワードが平文で送られてきたり「ハッシュしないで保管してるっぽいなー」ってとこがあるんですが、これはなぜなんでしょう?# アメブロの場合は芸能人ブログだけ特別扱いで管理してたのかもしれませんけど
流石にハッシュ後を保存するって教科書レベルの話を知らない開発者が居るとは思えないので、なんか理由があるんだと思いますが……「パスワードは聞けば教えてくれるはずだ」みたいなユーザが多いから?
何らかの理由で「こんな実装したくないのに……」と苦汁を飲んだ開発者が/.Jに居れば、こっそり教えてください:-)
「小細工しない単純なハッシュ」って具体的にどういうハッシュなんでしょうか?長さの長短はあるとしても、原理的に、ブルートフォース以外でハッシュからもとに復元(解析)は出来ないと思うのですが、違うんでしょうか。
ただ単にパスワードをハッシュ化しただけなら、パスワードを導き出す方法はあります。
レインボーテーブル [wikipedia.org] とか。
そりゃあらかじめ準備しておく総当たりでしょう。それ使って出す場合、(現実的な時間でアタックが可能とは言っても)「導き出している」とは言わないのでは。
まあ今回は(芸能人ブログに限って言えば)それすらしてないのってどうなのよって話なので、もっと守り方があるのかもしれませんな:-)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
未だに時々パスワードを平文で保存してるところがあるけど (スコア:3, 興味深い)
アメブロの騒動、あとからおいついたので現物見てませんが、状況から見てIDとパスワードが平文で保存されてたってことでしょうな。
時折サービス登録するとパスワードが平文で送られてきたり「ハッシュしないで保管してるっぽいなー」ってとこがあるんですが、これはなぜなんでしょう?
# アメブロの場合は芸能人ブログだけ特別扱いで管理してたのかもしれませんけど
流石にハッシュ後を保存するって教科書レベルの話を知らない開発者が居るとは思えないので、なんか理由があるんだと思いますが……
「パスワードは聞けば教えてくれるはずだ」みたいなユーザが多いから?
何らかの理由で「こんな実装したくないのに……」と苦汁を飲んだ開発者が/.Jに居れば、こっそり教えてください:-)
Re: (スコア:0)
Re: (スコア:0)
「小細工しない単純なハッシュ」って具体的にどういうハッシュなんでしょうか?
長さの長短はあるとしても、原理的に、ブルートフォース以外でハッシュからもとに復元(解析)
は出来ないと思うのですが、違うんでしょうか。
Re:未だに時々パスワードを平文で保存してるところがあるけど (スコア:2, 参考になる)
ただ単にパスワードをハッシュ化しただけなら、パスワードを導き出す方法はあります。
レインボーテーブル [wikipedia.org] とか。
Re:未だに時々パスワードを平文で保存してるところがあるけど (スコア:1)
そりゃあらかじめ準備しておく総当たりでしょう。
それ使って出す場合、(現実的な時間でアタックが可能とは言っても)「導き出している」とは言わないのでは。
まあ今回は(芸能人ブログに限って言えば)それすらしてないのってどうなのよって話なので、もっと守り方があるのかもしれませんな:-)