アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
ステートフルなWebアプリ? (スコア:0)
いわゆる「ステートフルなWebアプリ」な
開発形態やFrameworkが普及すると、
このてのミスも減ってくる、のではないでしょうか?
というのは、こういう
「見せないけど実はHTMLに紛れさせてる情報」の類を
サーバ側のステートの一部として
容易に管理できるようなアプリ構成/FWになっていれば、
わざわざそれをHTMLにも書き出そうなどと思う人はいなくなるだろうから、です。
GUIアプリを作ってたころ、
パスワとかを変数に格納することはあっても、
それを必要もないのにGUIコ
Re: (スコア:1, 参考になる)
#元コメントの人は、WEB関連の開発をしたことがないのでしょうけど
#何でこんな話が無くならないのかは、HTMLを使って認証機能を作ってみるのがいいですよ
#HTMLやブラウザやURL(URI)にパスワードとIDを保存しないまま、画面が変わる度にどうやって
#認証し、セッションを維持するのか等、面白い経験を出来ますよ。
#
#単体アプリケーションならIDとパスワードなんて認証が終わったら捨ててもいいかもしれないデータですしね。。。
Re: (スコア:0)
それをクッキー(inputのhiddenでも別によさげ)にでも保持させると思います。
これだと問題はあるのでしょうか。
Re: (スコア:0)
どれくらいセキュリティ的に強くなるんですか?
ほとんど変わらない気がしますが。
Re:ステートフルなWebアプリ? (スコア:0)
これだと盗み見られても正規の手段(ログイン画面でパスワード入力するとか)で成りすまされることはない。
それに同じパスワードを複数箇所で使用していたとして、その内一つから漏れても軒並みアウトにはならない。
また盗聴対策でTSLを使っても生パスワードをサーバに送る以上サーバロジック上は見えるのだから、通信中でなくサーバ上で盗まれる可能性は残る。ハッシュ値だと盗まれても生パスワードは知られることはない(はず)
サーバからクライアントならばそもそも論外。