アカウント名:
パスワード:
アメブロの騒動、あとからおいついたので現物見てませんが、状況から見てIDとパスワードが平文で保存されてたってことでしょうな。時折サービス登録するとパスワードが平文で送られてきたり「ハッシュしないで保管してるっぽいなー」ってとこがあるんですが、これはなぜなんでしょう?# アメブロの場合は芸能人ブログだけ特別扱いで管理してたのかもしれませんけど
流石にハッシュ後を保存するって教科書レベルの話を知らない開発者が居るとは思えないので、なんか理由があるんだと思いますが……「パスワードは聞けば教えてくれるはずだ」みたいなユーザが多いから?
何らかの理由で「こんな実装したくないのに……」と苦汁を飲んだ開発者が/.Jに居れば、こっそり教えてください:-)
記事やデザインの更新を第三業者や社内チームが行うのケースは当然ありうるからその場合は平文パスワードを管理し伝えなきゃいけない。ハッシュ云々言ってるコメントはなんなんだ?
そのようなケースでIDを共用するからパスワードを平文で管理する必要が生じるのであって、本人、業者、社内とユーザごとに別のIDを発行するのがセキュリティ上「当然」の姿なんです。
だから別のIDを発行ならわかるがハッシュ云々言ってるコメントはなんなんだ?ハッシュから平文化できるとでも思ってるんだろうか
IDが別なら本人が平文パスワード、認証する側はハッシュを保管すれば事が足りるだろう?本人と認証側以外の第三者(業者、管理会社の社員)は別のIDを使用しているので互いのパスワードは平文もハッシュも持つ必要はない。今回のように複数のIDと平文のパスワードが流出する事態はどこからも起こりえない。「当然」の部分を省いて話しているから分りにくいとは思うけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
未だに時々パスワードを平文で保存してるところがあるけど (スコア:3, 興味深い)
アメブロの騒動、あとからおいついたので現物見てませんが、状況から見てIDとパスワードが平文で保存されてたってことでしょうな。
時折サービス登録するとパスワードが平文で送られてきたり「ハッシュしないで保管してるっぽいなー」ってとこがあるんですが、これはなぜなんでしょう?
# アメブロの場合は芸能人ブログだけ特別扱いで管理してたのかもしれませんけど
流石にハッシュ後を保存するって教科書レベルの話を知らない開発者が居るとは思えないので、なんか理由があるんだと思いますが……
「パスワードは聞けば教えてくれるはずだ」みたいなユーザが多いから?
何らかの理由で「こんな実装したくないのに……」と苦汁を飲んだ開発者が/.Jに居れば、こっそり教えてください:-)
Re: (スコア:2, 興味深い)
芸能人・芸能事務所という特殊な組織を相手する都合、記事を管理するのは芸能人本人、芸能事務所、そしてサイバー、の三者だと思います。
サーバー側が記事を管理する理由はいくつか考えられます(ネット文化に疎い芸能人および事務所相手にコンサルのごとく対応した際の流れ、など)。
そして、社員などが使える管理画面で、指定した記事を修正するような機能が用意されておらず、
直接ユーザ画面から入って記事をいじる運用になっていた。そのため、
漏れないことを前提にした芸能人用ID・Passリストが社内管理されていた…と。
仮定だけで恐縮ですが。
ともあれ、ユーザからすれば信用度は普通に落ちますし、相手が芸能事務所だけに目に見えない後始末はそら大変でしょうに。
Re: (スコア:0)
記事やデザインの更新を第三業者や社内チームが行うのケースは当然ありうるから
その場合は平文パスワードを管理し伝えなきゃいけない。
ハッシュ云々言ってるコメントはなんなんだ?
Re:未だに時々パスワードを平文で保存してるところがあるけど (スコア:1, 参考になる)
そのようなケースでIDを共用するからパスワードを平文で管理する必要が生じるのであって、
本人、業者、社内とユーザごとに別のIDを発行するのがセキュリティ上「当然」の姿なんです。
Re: (スコア:0)
だから別のIDを発行ならわかるが
ハッシュ云々言ってるコメントはなんなんだ?
ハッシュから平文化できるとでも思ってるんだろうか
Re: (スコア:0)
IDが別なら本人が平文パスワード、認証する側はハッシュを保管すれば事が足りるだろう?
本人と認証側以外の第三者(業者、管理会社の社員)は別のIDを使用しているので互いのパスワードは平文もハッシュも持つ必要はない。
今回のように複数のIDと平文のパスワードが流出する事態はどこからも起こりえない。
「当然」の部分を省いて話しているから分りにくいとは思うけど。