アカウント名:
パスワード:
>つまり今までは平文で…。
いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?
#中の人が中のURLを意図的に外に貼るか、Googleに手作業で登録するかしない限りは#起きない事件のような気がするけどな。
URLに生のログインIDとパスワードを入れた状態でも、サーバに保存されたパスワードハッシュと比較して認証することはできます。また、サーバに菜パワスワードが保存されていなくても、クライアントから生パスワードを送らせる認証方法なら、折り返しURLやクッキーに生パスワードを入れることができます。ですから、
> >つまり今までは平文で…。> いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?
「サーバ側に生のパスワードを保存するかどうか」と、「クライアント側でURLに生パスワードを埋め込んだり、クッキーに生パスワードを埋め込んだりするかどうか」は、別の(直交する)問題です。
URLに生パスワードが入っていると、検索エンジンに拾われるなど、特定個人のパスワードが流出される可能性があります(論外)。サーバに生パスワードが入っていると、利用者のパスワードがサーバ側から流出してしまう可能性があります。
この二つは別な理由でヤッたらダメな話ではないかと。
「なまぱすわーど」(生パスワード)と書こうとしたtypoでしょ。騒ぐほどのもんでも
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
$_REQUEST[]使って、そのままほったらかしだったとかさ (スコア:2)
>つまり今までは平文で…。
いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?
#中の人が中のURLを意図的に外に貼るか、Googleに手作業で登録するかしない限りは
#起きない事件のような気がするけどな。
Re: (スコア:2, 興味深い)
URLに生のログインIDとパスワードを入れた状態でも、
サーバに保存されたパスワードハッシュと比較して認証することはできます。
また、サーバに菜パワスワードが保存されていなくても、クライアントから生パスワードを送らせる認証方法なら、
折り返しURLやクッキーに生パスワードを入れることができます。
ですから、
> >つまり今までは平文で…。
> いや、件のURLにログインIDとパスワードらしき文字列が含まれてたでしょ?
「サーバ側に生のパスワードを保存するかどうか」と、
「クライアント側でURLに生パスワードを埋め込んだり、クッキーに生パスワードを埋め込んだりするかどうか」は、
別の(直交する)問題です。
URLに生パスワードが入っていると、検索エンジンに拾われるなど、特定個人のパスワードが流出される可能性があります(論外)。
サーバに生パスワードが入っていると、利用者のパスワードがサーバ側から流出してしまう可能性があります。
この二つは別な理由でヤッたらダメな話ではないかと。
提案 (スコア:0, おもしろおかしい)
今日いちばん光っていた発言賞とか作ってはいかがでしょうか?
本日回転のカフェ (スコア:0)
「なまぱすわーど」(生パスワード)と書こうとしたtypoでしょ。騒ぐほどのもんでも