アカウント名:
パスワード:
たまに初回登録時にID:xx PW:xxですって書いてあるメールが来るところはあるけど、それが問題?それともパスワード再登録とかパスワード忘れたとかの時にメールでパスワードこれですって送るのが問題?
まぁ全部問題か。解決策としたらパスワード忘れたときは教えるのではなく強制変更にして、期限付きセッションIDを付けたURL送って、期間内にそこから変更してくれでいいんじゃねーの?
初回登録時はパスワードはセキュリティのため表示しませんでいいと思う既にそうしてるところもあったし。どこだったかは忘れたけど
問題視しているのは・生パスワードを保存しているであろうこと・多くの大学生がこういう製品を自覚なく使っているであろうことメールで送ってくることよりも生パスワードを保存しているっぽいのを問題にしてます。
技術的には解決は簡単です。salt付きでハッシュ関数を通せばいいんです。
#元増田なのでAC
digest-md5みたいなチャレンジ-レスポンス系の認証プロトコルを実装したい場合、生パス無しでどうやります?
SSL上で平文パスワードを流す認証とか公開鍵による認証と比べて、公開鍵を使わないチャレンジアンドレスポンスによる認証ってどんなメリットがあるんだろう。確かにSSLでないBasic認証よりはましなんだけど、どうにも中途半端に思える。
Digest認証を選択する理由というとこんな感じだろうか。
確かにこういうトレードオフはありではあるけどやっぱり微妙。
本題と全然関係ないですが。
SSLは名前ベースのバーチャルホストが使えない
Apache httpd の場合は利用できるようですよ。(RFC2817 への対応が 2.2 系で追加されたため、接続時にホストを指定することが可能に)
ありがとうございます。Apacheのマニュアル [apache.org]に「名前ベースのバーチャルホストは SSL プロトコルの特徴により、 SSL セキュアサーバには使えません。」って書いてあったのでてっきりそうなんだと思ってました。(プロトコルが後から拡張されて規格上は使えるようになったというのをどこかで聞いたのは覚えているのですが)あとで調べてみます。
name base virtual host でSSLが使えるようになる「SNI」 [wikipedia.org]ですが、サーバ側の対応より、クライアント側の対応の方が問題です。XPのIEでは対応していない [srad.jp]ので、まだちょっと実用に供するのは難しいと思います。
「IE6では」じゃなくて「XPのIEでは」なのがきつい。ChromeはOSの制限に左右されるのを防ぐためバージョン7からschannelをやめてNSSを使うようにしたみたいだし(ただしルート証明書はシステムのものを参照する)。
Webサービスで採用してるところあるんだろうか。Digest認証は別として、javascriptが動かないと使えないだろうし。
はてな [hatena.ne.jp]とか?ログインではなくてWebAPIの実装だけど。
#というわけではてなも生パスワード保存してるので元増田氏は存分に問題にしてください
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
これはどういう時のを問題視しているの? (スコア:0)
たまに初回登録時にID:xx PW:xxですって書いてあるメールが来るところはあるけど、それが問題?
それともパスワード再登録とかパスワード忘れたとかの時にメールでパスワードこれですって送るのが問題?
まぁ全部問題か。解決策としたらパスワード忘れたときは教えるのではなく強制変更にして、
期限付きセッションIDを付けたURL送って、期間内にそこから変更してくれでいいんじゃねーの?
初回登録時はパスワードはセキュリティのため表示しませんでいいと思う
既にそうしてるところもあったし。どこだったかは忘れたけど
Re: (スコア:0)
問題視しているのは
・生パスワードを保存しているであろうこと
・多くの大学生がこういう製品を自覚なく使っているであろうこと
メールで送ってくることよりも生パスワードを保存しているっぽいのを問題にしてます。
技術的には解決は簡単です。salt付きでハッシュ関数を通せばいいんです。
#元増田なのでAC
Re:これはどういう時のを問題視しているの? (スコア:0)
digest-md5みたいなチャレンジ-レスポンス系の認証プロトコルを実装したい場合、生パス無しでどうやります?
Re:これはどういう時のを問題視しているの? (スコア:2)
SSL上で平文パスワードを流す認証とか公開鍵による認証と比べて、公開鍵を使わないチャレンジアンドレスポンスによる認証ってどんなメリットがあるんだろう。
確かにSSLでないBasic認証よりはましなんだけど、どうにも中途半端に思える。
Digest認証を選択する理由というとこんな感じだろうか。
確かにこういうトレードオフはありではあるけどやっぱり微妙。
Re:これはどういう時のを問題視しているの? (スコア:1)
本題と全然関係ないですが。
Apache httpd の場合は利用できるようですよ。(RFC2817 への対応が 2.2 系で追加されたため、接続時にホストを指定することが可能に)
Re:これはどういう時のを問題視しているの? (スコア:2)
ありがとうございます。Apacheのマニュアル [apache.org]に「名前ベースのバーチャルホストは SSL プロトコルの特徴により、 SSL セキュアサーバには使えません。」って書いてあったのでてっきりそうなんだと思ってました。(プロトコルが後から拡張されて規格上は使えるようになったというのをどこかで聞いたのは覚えているのですが)
あとで調べてみます。
Re:これはどういう時のを問題視しているの? (スコア:1)
name base virtual host でSSLが使えるようになる「SNI」 [wikipedia.org]ですが、サーバ側の対応より、クライアント側の対応の方が問題です。
XPのIEでは対応していない [srad.jp]ので、まだちょっと実用に供するのは難しいと思います。
Re: (スコア:0)
「IE6では」じゃなくて「XPのIEでは」なのがきつい。ChromeはOSの制限に左右されるのを防ぐためバージョン7からschannelをやめてNSSを使うようにしたみたいだし(ただしルート証明書はシステムのものを参照する)。
Re: (スコア:0)
Re: (スコア:0)
Webサービスで採用してるところあるんだろうか。
Digest認証は別として、javascriptが動かないと使えないだろうし。
Re: (スコア:0)
はてな [hatena.ne.jp]とか?
ログインではなくてWebAPIの実装だけど。
#というわけではてなも生パスワード保存してるので元増田氏は存分に問題にしてください