アカウント名:
パスワード:
自分が開発するときはDBにパスワードを平文で置いたりしません。
「データベースにはパスワードのハッシュ値しか保存しない」「ログインは入力内容のハッシュ値がDBと一致するかで判定」「もしパスワードを忘れたら、仮パスワードを発行」
としていて、運営者側が利用者のパスワードを知れるようにはしないです。
でも外部の業者が作ると、平気で(?)パスワードを DBに平文で記録するので、こんな風に「利用者のパスワードを眺めてウフフ」している運営者は多いんでしょうかね。
というかPAPって平文でパスワードがネットワークを流れるわけですよね。「えーマジ可逆? DBに可逆保存が許されるのはソニーまでだよねー(ドヤァ」とか言ってる人はそっちのほうは気にならないんですかね。
さすがにいまどきPAPなんてないと信じたいです><
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
パスワードをDBに平文で保存なの? (スコア:0)
自分が開発するときはDBにパスワードを平文で置いたりしません。
「データベースにはパスワードのハッシュ値しか保存しない」
「ログインは入力内容のハッシュ値がDBと一致するかで判定」
「もしパスワードを忘れたら、仮パスワードを発行」
としていて、運営者側が利用者のパスワードを知れるようにはしないです。
でも外部の業者が作ると、平気で(?)パスワードを DBに平文で記録するので、
こんな風に「利用者のパスワードを眺めてウフフ」している運営者は多いんでしょうかね。
Re: (スコア:1)
ところがさすがにPAPだけじゃ対応できなくなってCHAPに拡張(802.1x絡み)するときに
どうしても平文パスワードが必要になって、可逆暗号に変更しました。
システム的に可逆なのが必要なこともあるっちゃあるんですよ。
# ちなみに定期変更が強制される仕組にしてあったので、更新時にDBの中身を置き換える
# ようにしました。変更が一巡したらみんな可逆化。:-)
Re: (スコア:0)
というかPAPって平文でパスワードがネットワークを流れるわけですよね。
「えーマジ可逆? DBに可逆保存が許されるのはソニーまでだよねー(ドヤァ」とか言ってる人はそっちのほうは気にならないんですかね。
Re:パスワードをDBに平文で保存なの? (スコア:0)
さすがにいまどきPAPなんてないと信じたいです><