アカウント名:
パスワード:
そのファイルアクセスできる人全員で覗き放題か。
管理体制の問題でしかないと思う。パスワード平文で保持してようがいまいが、管理が甘ければ低い権限の従業員が個人データ覗けるだろうし、厳しければ平文パスワードにもアクセスできない。客のパスワードが分かったところで遊びでログインとかリスクまみれの行為まともな技術者ならできない。情報売り飛ばす方がまだマシ。もちろんやるならその他の顧客情報もセットだろう。セット売りならその他の顧客情報に比べてパスワードなんて大した価値はない…まあ使い方にはよるけど。
最初からパスワードをハッシュ化して保存しておけば、漏洩のリスクはそもそもないんだよ。(ハッシュの作り方が甘いと、ブルートフォースで推測される恐れはあるけど、それはまた別の話)保存する必要のない情報は最初から保存しない。それが原則。
ブルートフォースじゃなくてレインボーテーブルじゃね?レインボーテーブルもブルートフォースの一種だと言えなくもないけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
平文関係ない (スコア:0)
そのファイルアクセスできる人全員で覗き放題か。
管理体制の問題でしかないと思う。
パスワード平文で保持してようがいまいが、管理が甘ければ低い権限の従業員が個人データ覗けるだろうし、
厳しければ平文パスワードにもアクセスできない。
客のパスワードが分かったところで遊びでログインとかリスクまみれの行為まともな技術者ならできない。
情報売り飛ばす方がまだマシ。もちろんやるならその他の顧客情報もセットだろう。
セット売りならその他の顧客情報に比べてパスワードなんて大した価値はない…まあ使い方にはよるけど。
Re:平文関係ない (スコア:0)
最初からパスワードをハッシュ化して保存しておけば、漏洩のリスクはそもそもないんだよ。
(ハッシュの作り方が甘いと、ブルートフォースで推測される恐れはあるけど、それはまた別の話)
保存する必要のない情報は最初から保存しない。それが原則。
Re: (スコア:0)
ブルートフォースじゃなくてレインボーテーブルじゃね?
レインボーテーブルもブルートフォースの一種だと言えなくもないけど。