アカウント名:
パスワード:
自分が開発するときはDBにパスワードを平文で置いたりしません。
「データベースにはパスワードのハッシュ値しか保存しない」「ログインは入力内容のハッシュ値がDBと一致するかで判定」「もしパスワードを忘れたら、仮パスワードを発行」
としていて、運営者側が利用者のパスワードを知れるようにはしないです。
でも外部の業者が作ると、平気で(?)パスワードを DBに平文で記録するので、こんな風に「利用者のパスワードを眺めてウフフ」している運営者は多いんでしょうかね。
>母集団がそもそも残念な方に偏ってるって事はないのかな。
マカーは人間ではない説のお方に言わせたら(あれ?でてこないね)、母集団を含む集団は、人間ではないということになりそうです。なので、残念よりも先ということになりますね。つまり、人間ではない残念な方向に大きく偏っているので、人間という立地からは統計ですらなくなってしまいそうです。つまり、神の領域ということではないでしょうか?
誰と戦ってるんだ
>誰と戦ってるんだ
たぶん、マカーは人間ではない説のお方は、神と戦っておらっしゃるのではないかと思います。
というかPAPって平文でパスワードがネットワークを流れるわけですよね。「えーマジ可逆? DBに可逆保存が許されるのはソニーまでだよねー(ドヤァ」とか言ってる人はそっちのほうは気にならないんですかね。
さすがにいまどきPAPなんてないと信じたいです><
1. そもそもこのアプリがパスワードを管理してるわけじゃない。2. クラサバでDBに保存するパスワードじゃなくて、iPhoneのローカルに保存するロック番号の話。ハッシュかける意味は?3. ハッシュだけ? ソルトやストレッチングは?4. iPhoneは通常 運営者=利用者ですよね? 仮パスワードはやっぱり自画面に発行するの?
まぁ、だからといってアプリ側がパスワード収集していいかって話はまた別ですが。
すみません。ハッシュかける意味はありましたね。書いてから気づくアホ。
けど、やっぱりiPhoneがパスワードをどうやって管理してるのかとは別問題。このソフトは、APIかなんかで打ち込んだロックコードに対する結果のみを受け取ってるんでしょ。で、OKのでたコードの収集を行ったと。この場合は平文だろが的確にハッシュ化されてようが同じですよね。
そのサブジェクトやめいやっと忘れたのに思い出してしまうじゃないか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
パスワードをDBに平文で保存なの? (スコア:0)
自分が開発するときはDBにパスワードを平文で置いたりしません。
「データベースにはパスワードのハッシュ値しか保存しない」
「ログインは入力内容のハッシュ値がDBと一致するかで判定」
「もしパスワードを忘れたら、仮パスワードを発行」
としていて、運営者側が利用者のパスワードを知れるようにはしないです。
でも外部の業者が作ると、平気で(?)パスワードを DBに平文で記録するので、
こんな風に「利用者のパスワードを眺めてウフフ」している運営者は多いんでしょうかね。
Re:パスワードをDBに平文で保存なの? (スコア:2, 参考になる)
Re: (スコア:0, 荒らし)
>母集団がそもそも残念な方に偏ってるって事はないのかな。
マカーは人間ではない説のお方に言わせたら(あれ?でてこないね)、母集団を含む集団は、人間ではないということになりそうです。なので、残念よりも先ということになりますね。
つまり、人間ではない残念な方向に大きく偏っているので、人間という立地からは統計ですらなくなってしまいそうです。
つまり、神の領域ということではないでしょうか?
Re: (スコア:0)
誰と戦ってるんだ
Re: (スコア:0, 荒らし)
>誰と戦ってるんだ
たぶん、マカーは人間ではない説のお方は、神と戦っておらっしゃるのではないかと思います。
Re:パスワードをDBに平文で保存なの? (スコア:1)
ところがさすがにPAPだけじゃ対応できなくなってCHAPに拡張(802.1x絡み)するときに
どうしても平文パスワードが必要になって、可逆暗号に変更しました。
システム的に可逆なのが必要なこともあるっちゃあるんですよ。
# ちなみに定期変更が強制される仕組にしてあったので、更新時にDBの中身を置き換える
# ようにしました。変更が一巡したらみんな可逆化。:-)
Re: (スコア:0)
というかPAPって平文でパスワードがネットワークを流れるわけですよね。
「えーマジ可逆? DBに可逆保存が許されるのはソニーまでだよねー(ドヤァ」とか言ってる人はそっちのほうは気にならないんですかね。
Re: (スコア:0)
さすがにいまどきPAPなんてないと信じたいです><
Re: (スコア:0)
1. そもそもこのアプリがパスワードを管理してるわけじゃない。
2. クラサバでDBに保存するパスワードじゃなくて、iPhoneのローカルに保存するロック番号の話。ハッシュかける意味は?
3. ハッシュだけ? ソルトやストレッチングは?
4. iPhoneは通常 運営者=利用者ですよね? 仮パスワードはやっぱり自画面に発行するの?
まぁ、だからといってアプリ側がパスワード収集していいかって話はまた別ですが。
Re: (スコア:0)
すみません。ハッシュかける意味はありましたね。書いてから気づくアホ。
けど、やっぱりiPhoneがパスワードをどうやって管理してるのかとは別問題。
このソフトは、APIかなんかで打ち込んだロックコードに対する結果のみを受け取ってるんでしょ。
で、OKのでたコードの収集を行ったと。この場合は平文だろが的確にハッシュ化されてようが同じですよね。
Re: (スコア:0)
そのサブジェクトやめい
やっと忘れたのに思い出してしまうじゃないか
Re: (スコア:0)
iniファイルに"Password=123456"と記入されてるびっくりシステムです
尤もサーバ側のパスワードがユーザー名と同じで2桁!というビックリ仕様な上、サーバ上のデータ、
クライアントにキャッシュされるデータもプレーンテキストなので
メモ帳が有れば開けるという素敵仕様ですが・・・
大手が導入して漏れるとまずい顧客関連のデータが入ってるんですけど
直接権限が及ばないところなのでスルーしてますが