パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」記事へのコメント

  • 電電公社では… (スコア:2, おもしろおかしい)

    docomo IDを作ると生でパスワードを保管されてしまう [takagi-hiromitsu.jp]

    これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。

    相変わらず理解できない文章を書く人ですね。IDとパスワードは大事なんだし、オリジナルを保存しておいて照合する人が大多数なのに(笑)

    • by Anonymous Coward

      md5関数使って32文字の怪しげな文字列に変換し、
      ユーザがログインするときにはフォームから渡されたパスワード(らしいテキスト)をmd5で変換して照合している俺はどうやらガラパゴスだったらしい。

      • 実際問題として「パスワードのハッシュ」を保存する方法の場合
        利用者がパスワードを忘れた場合、サーバ側に生パスワードはありませんから、
        新たなパスワードを作りなおすことしかできません。

        無難に行くならワンタイムのパスワード再設定ページのURLをメールするとか、
        ランダムなパスワードを生成して、そのパスワードをメールするとか、
        そんなところでしょうか。

        #パスワードをメールで送るのはどうよ、って意見もありそうですが、
        #この際、生パスワードをメールするとかには目を瞑ってます。
        #そもそも、オンライン登録ではメール以外に有効な確認手段が無いし…
        #「パスワード忘れました。メールアドレス変わってます」なんてときには途方にくれますが…

        ところが、そういうのは不便だっていう利用者が多いんですよ。
        そのせいか、「パスワードを忘れた場合は」ってのをクリックすると、
        現在設定しているパスワードがメールで送られてくるサイトも結構あります。

        そういう利用者側のセキュリティを無視した利用者の要求を揶揄したのが元コメントでしょう。(笑)って付いてるし。

        親コメント

ソースを見ろ -- ある4桁UID

処理中...