アカウント名:
パスワード:
>つまり今までは平文で…。
いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?
#中の人が中のURLを意図的に外に貼るか、Googleに手作業で登録するかしない限りは#起きない事件のような気がするけどな。
URLに生のログインIDとパスワードを入れた状態でも、サーバに保存されたパスワードハッシュと比較して認証することはできます。また、サーバに菜パワスワードが保存されていなくても、クライアントから生パスワードを送らせる認証方法なら、折り返しURLやクッキーに生パスワードを入れることができます。ですから、
> >つまり今までは平文で…。> いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?
「サーバ側に生のパスワードを保存するかどうか」と、「クライアント側でURLに生パスワードを埋め込んだり、クッキーに生パスワードを埋め込んだりするかどうか」は、別の(直交する)問題です。
URLに生パスワードが入っていると、検索エンジンに拾われるなど、特定個人のパスワードが流出される可能性があります(論外)。サーバに生パスワードが入っていると、利用者のパスワードがサーバ側から流出してしまう可能性があります。
この二つは別な理由でヤッたらダメな話ではないかと。
「なまぱすわーど」(生パスワード)と書こうとしたtypoでしょ。騒ぐほどのもんでも
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
$_REQUEST[]使って、そのままほったらかしだったとかさ (スコア:2)
>つまり今までは平文で…。
いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?
#中の人が中のURLを意図的に外に貼るか、Googleに手作業で登録するかしない限りは
#起きない事件のような気がするけどな。
Re:$_REQUEST[]使って、そのままほったらかしだったとかさ (スコア:2, 興味深い)
URLに生のログインIDとパスワードを入れた状態でも、
サーバに保存されたパスワードハッシュと比較して認証することはできます。
また、サーバに菜パワスワードが保存されていなくても、クライアントから生パスワードを送らせる認証方法なら、
折り返しURLやクッキーに生パスワードを入れることができます。
ですから、
> >つまり今までは平文で…。
> いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?
「サーバ側に生のパスワードを保存するかどうか」と、
「クライアント側でURLに生パスワードを埋め込んだり、クッキーに生パスワードを埋め込んだりするかどうか」は、
別の(直交する)問題です。
URLに生パスワードが入っていると、検索エンジンに拾われるなど、特定個人のパスワードが流出される可能性があります(論外)。
サーバに生パスワードが入っていると、利用者のパスワードがサーバ側から流出してしまう可能性があります。
この二つは別な理由でヤッたらダメな話ではないかと。
提案 (スコア:0, おもしろおかしい)
今日いちばん光っていた発言賞とか作ってはいかがでしょうか?
本日回転のカフェ (スコア:0)
「なまぱすわーど」(生パスワード)と書こうとしたtypoでしょ。騒ぐほどのもんでも
Re: (スコア:0)
登録会員個々のパスワードは、すくなくとも一方向ハッシュを使っては無いようで、パスワードを知ることができるようになってます。
「パスワードの暗号化」というのは復号可能な暗号化なのか、管理パスワードのみ暗号化なのか。
たぶん、セッションが無いので、個々の会員情報を操作するのにパスワードが必要な作りなのでしょう。
今後とも「ある専門家」様の活躍を期待したいところです。