アカウント名:
パスワード:
"パスワードをxx日毎に更新してください。"とかも脆弱性の元
そもそもパスワードをユーザー自身に決めさせるのが良くない。
http(s) に公開鍵暗号方式が標準で欲しいとだいぶ前から思ってる。
クライアント証明書じゃ駄目なの?
じゃ駄目っていうか、この文脈だとそれ同一のものを指してない?
認証方式としては申し分ないのですが、アプリ側の観点からすると、SSL内で行なわれる構造である以上、httpサーバの設定を追加するか変更する必要が生じてしまい、他のアプリと共存しているサーバであったり、サーバ管理を他の部署や社外に委託しているような環境では使いにくい、というのがあります。
パスワード認証についても、http認証ではなくフォーム認証が多いのも、そういった都合によることが多いものと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
良かれと思ったことが裏目に出る (スコア:2)
"パスワードをxx日毎に更新してください。"とかも脆弱性の元
Re: (スコア:2, すばらしい洞察)
そもそもパスワードをユーザー自身に決めさせるのが良くない。
Re:良かれと思ったことが裏目に出る (スコア:0)
http(s) に公開鍵暗号方式が標準で欲しいとだいぶ前から思ってる。
Re: (スコア:0)
クライアント証明書じゃ駄目なの?
Re:良かれと思ったことが裏目に出る (スコア:2)
じゃ駄目っていうか、この文脈だとそれ同一のものを指してない?
Re: (スコア:0)
認証方式としては申し分ないのですが、アプリ側の観点からすると、SSL内で行なわれる構造である以上、
httpサーバの設定を追加するか変更する必要が生じてしまい、他のアプリと共存しているサーバであったり、
サーバ管理を他の部署や社外に委託しているような環境では使いにくい、というのがあります。
パスワード認証についても、http認証ではなくフォーム認証が多いのも、そういった都合によることが多いものと思います。