アカウント名:
パスワード:
> (plain/login)以外の認証が出来るところは全て、
というのは言い過ぎではないでしょうか。Challenge-Response 方式が平文鍵を前提としているとは言えるかもしれませんが,ハッシュ関数がデータに対して逐次的に適用される場合(HMAC-MD5 等)は,途中までハッシュ値を求めておくことができます。この場合,平文を保存する必要はありませんし,こうした実装も存在します。
複数のハッシュ関数を使えるようにするには,それぞれにハッシュ値を求めて保存するか,やはり平文を使うことが多いと思いますが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
なんでパスワードまで流出するの (スコア:2, 興味深い)
Re: (スコア:2, 興味深い)
Re:なんでパスワードまで流出するの (スコア:1)
> (plain/login)以外の認証が出来るところは全て、
というのは言い過ぎではないでしょうか。
Challenge-Response 方式が平文鍵を前提としているとは言えるかもしれませんが,
ハッシュ関数がデータに対して逐次的に適用される場合(HMAC-MD5 等)は,途中まで
ハッシュ値を求めておくことができます。この場合,平文を保存する必要はありません
し,こうした実装も存在します。
複数のハッシュ関数を使えるようにするには,それぞれにハッシュ値を求めて保存する
か,やはり平文を使うことが多いと思いますが。