アカウント名:
パスワード:
アメブロの騒動、あとからおいついたので現物見てませんが、状況から見てIDとパスワードが平文で保存されてたってことでしょうな。時折サービス登録するとパスワードが平文で送られてきたり「ハッシュしないで保管してるっぽいなー」ってとこがあるんですが、これはなぜなんでしょう?# アメブロの場合は芸能人ブログだけ特別扱いで管理してたのかもしれませんけど
流石にハッシュ後を保存するって教科書レベルの話を知らない開発者が居るとは思えないので、なんか理由があるんだと思いますが……「パスワードは聞けば教えてくれるはずだ」みたいなユーザが多いから?
何らかの理由で「こんな実装したくないのに……」と苦汁を飲んだ開発者が/.Jに居れば、こっそり教えてください:-)
> HTTPのdigest認証
digest認証では、おおざっぱに言えばサーバから送られてきた「パスワードハッシュ」「サーバが生成したランダム文字列」と「クライアントが生成したランダム文字列」をクライアント側で連結した文字列を作り、クライアントはこの文字列のハッシュを(クライアントが生成したランダム文字列と共に)サーバに送ります。サーバ側は「パスワードのハッシュ」は必要ですが、生パスワードを保存する必要はありません。
cram-md5 や apop では、サーバ側に生パスワードの保存が必要なのはその通りです。でも、最近の流行では、apop みたいな認証だけの暗号化なんかは下火で、通信路そのものをSSLを通して暗号化し、認証は生パスワードを流す、というの方向じゃないですかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
未だに時々パスワードを平文で保存してるところがあるけど (スコア:3, 興味深い)
アメブロの騒動、あとからおいついたので現物見てませんが、状況から見てIDとパスワードが平文で保存されてたってことでしょうな。
時折サービス登録するとパスワードが平文で送られてきたり「ハッシュしないで保管してるっぽいなー」ってとこがあるんですが、これはなぜなんでしょう?
# アメブロの場合は芸能人ブログだけ特別扱いで管理してたのかもしれませんけど
流石にハッシュ後を保存するって教科書レベルの話を知らない開発者が居るとは思えないので、なんか理由があるんだと思いますが……
「パスワードは聞けば教えてくれるはずだ」みたいなユーザが多いから?
何らかの理由で「こんな実装したくないのに……」と苦汁を飲んだ開発者が/.Jに居れば、こっそり教えてください:-)
Re: (スコア:1)
今回の騒動には当てはまりませんが…
Re:未だに時々パスワードを平文で保存してるところがあるけど (スコア:1)
> HTTPのdigest認証
digest認証では、おおざっぱに言えば
サーバから送られてきた「パスワードハッシュ」「サーバが生成したランダム文字列」と「クライアントが生成したランダム文字列」
をクライアント側で連結した文字列を作り、
クライアントはこの文字列のハッシュを(クライアントが生成したランダム文字列と共に)サーバに送ります。
サーバ側は「パスワードのハッシュ」は必要ですが、生パスワードを保存する必要はありません。
cram-md5 や apop では、サーバ側に生パスワードの保存が必要なのはその通りです。
でも、最近の流行では、apop みたいな認証だけの暗号化なんかは下火で、
通信路そのものをSSLを通して暗号化し、認証は生パスワードを流す、
というの方向じゃないですかね。