アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
パスワード忘れた場合 (スコア:1)
大抵平文でだよね。
ニュースサイトは大きな穴を見つけたみたいに書いているところあるけど、大したこと無い気がする。
適当にやっても苦情率は 1/1000 (スコア:2, 興味深い)
ユーザーが「パスワード教えて(泣」とメールを投げてきた時は ID とメールアドレスを照合した後に登録されたパスワードをこれまた普通のメールで返します。パスワードは平文のままDBに格納されてます。
こんな所の管理者なんてイヤです。苦痛です。鬱です。
ついでに SSL 無しで住所から家族構成まで入力させているのですが、ユーザー数が1000を超えた割に苦情は1件しか入っていません。まぁ機会ロスはその数十倍ありそうで
Re:適当にやっても苦情率は 1/1000 (スコア:1)
俺が構築中のシステムでは、平文でパスワード送ります。
IDはメールアドレス。
パスワードは、計算で求めて(md5とsha1)、翌日いっぱいまで有効とかにするつもり。
DBにはパスワードもそのハッシュも格納しない。
前回パスワードを発行した時の日付やIPアドレスは保存し通知するかも。
名前とか生年月日とかを使う確認は取らないで、IDのメールアドレスにパスワード送信。
回線途中で覗くより、端末から盗む方が簡単だよね。
自分専用端末じゃない奴のことを配慮する方が、必要だと思ってます。
あと、自分専用端末でも、ウイルスとか、トロイの木馬とか、色々入っている奴がいるからね。
クッキーって平文で格納されるよね。セキュアのクッキーは別なのかな?
Re:適当にやっても苦情率は 1/1000 (スコア:1)
「セッションのクッキー」は普通 volatile なものです。
もちろん、開きっぱなしのブラウザをそのまま利用されてしまったらおしまいですけどね。