パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

パスワードで重要なのは記号を含むことよりも長くすること」記事へのコメント

  • by Anonymous Coward

    いまだに12文字制限のあるとこ(ゆうちょとか)、さらに8文字制限のクレジットカード系とかほんと勘弁してほしい。

    • by Anonymous Coward

      記号入力必須なのに、特定の記号以外は入力制限がある
      (いまどき、SQL文でも直書きしてるの?)とかもやめてほしい。

      • Webアプリケーションファイアウォールってのがあってだな、
        記号有りにして、例えば「t' OR 't' = 't」みたいなパスワード使われてしまうと誤検出が発生してしまう。

        誤検出を防ぐには、当該ページ(例えば login.php への POST)に対してWebアプリケーションファイアウォールを無効にするしかなくなる。
        すると、万が一SQLインジェクションとかOSコマンドインジェクションとかの脆弱性があっても、Webアプリケーションファイアウォールが作動しなくなってしまう。

        なので、

        ・Webアプリケーションファイアウォールによって脆弱性があった場合にも悪用を防げる(場合がある)ことのメリッ

        • by Anonymous Coward

          この長文はプレースホルダやせめてエスケープ処理を知らない昔の人ですか?

          • 「ファイヤウォールがSQLインジェクション攻撃と誤認してアクセスをブロックしてしまう」ことを問題にしているのであって、ウェブアプリがSQLインジェクション対策されてるかどうかは無関係。

            別のコメントみたいに「そんなファイヤウォールに頼るな」というツッコミは正当だけど、
            プレースホルダとかエスケープ処理とか「SQLインジェクション対策しろ」というコメントはまったくの的外れ。

            親コメント
            • by Anonymous Coward

              WAFって今時どこでも使ってる気がするけど、金融系でだけそんな問題が発生するの? それは金融系のセキュリティが甘いってことじゃないの?

              • by Anonymous Coward

                金融系は真っ先にWAF入れた
                真っ先に入れたからチャチかったので先のようなことになった
                それに対応するためのバッドノウハウも必要だった

                東京都心の地下鉄駅が狭くてぼろいようなもん

にわかな奴ほど語りたがる -- あるハッカー

処理中...