アカウント名:
パスワード:
自分が開発するときはDBにパスワードを平文で置いたりしません。
「データベースにはパスワードのハッシュ値しか保存しない」「ログインは入力内容のハッシュ値がDBと一致するかで判定」「もしパスワードを忘れたら、仮パスワードを発行」
としていて、運営者側が利用者のパスワードを知れるようにはしないです。
でも外部の業者が作ると、平気で(?)パスワードを DBに平文で記録するので、こんな風に「利用者のパスワードを眺めてウフフ」している運営者は多いんでしょうかね。
1. そもそもこのアプリがパスワードを管理してるわけじゃない。2. クラサバでDBに保存するパスワードじゃなくて、iPhoneのローカルに保存するロック番号の話。ハッシュかける意味は?3. ハッシュだけ? ソルトやストレッチングは?4. iPhoneは通常 運営者=利用者ですよね? 仮パスワードはやっぱり自画面に発行するの?
まぁ、だからといってアプリ側がパスワード収集していいかって話はまた別ですが。
すみません。ハッシュかける意味はありましたね。書いてから気づくアホ。
けど、やっぱりiPhoneがパスワードをどうやって管理してるのかとは別問題。このソフトは、APIかなんかで打ち込んだロックコードに対する結果のみを受け取ってるんでしょ。で、OKのでたコードの収集を行ったと。この場合は平文だろが的確にハッシュ化されてようが同じですよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
パスワードをDBに平文で保存なの? (スコア:0)
自分が開発するときはDBにパスワードを平文で置いたりしません。
「データベースにはパスワードのハッシュ値しか保存しない」
「ログインは入力内容のハッシュ値がDBと一致するかで判定」
「もしパスワードを忘れたら、仮パスワードを発行」
としていて、運営者側が利用者のパスワードを知れるようにはしないです。
でも外部の業者が作ると、平気で(?)パスワードを DBに平文で記録するので、
こんな風に「利用者のパスワードを眺めてウフフ」している運営者は多いんでしょうかね。
Re: (スコア:0)
1. そもそもこのアプリがパスワードを管理してるわけじゃない。
2. クラサバでDBに保存するパスワードじゃなくて、iPhoneのローカルに保存するロック番号の話。ハッシュかける意味は?
3. ハッシュだけ? ソルトやストレッチングは?
4. iPhoneは通常 運営者=利用者ですよね? 仮パスワードはやっぱり自画面に発行するの?
まぁ、だからといってアプリ側がパスワード収集していいかって話はまた別ですが。
Re:パスワードをDBに平文で保存なの? (スコア:0)
すみません。ハッシュかける意味はありましたね。書いてから気づくアホ。
けど、やっぱりiPhoneがパスワードをどうやって管理してるのかとは別問題。
このソフトは、APIかなんかで打ち込んだロックコードに対する結果のみを受け取ってるんでしょ。
で、OKのでたコードの収集を行ったと。この場合は平文だろが的確にハッシュ化されてようが同じですよね。