アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
パスワード忘れた場合 (スコア:1)
大抵平文でだよね。
ニュースサイトは大きな穴を見つけたみたいに書いているところあるけど、大したこと無い気がする。
適当にやっても苦情率は 1/1000 (スコア:2, 興味深い)
ユーザーが「パスワード教えて(泣」とメールを投げてきた時は ID とメールアドレスを照合した後に登録されたパスワードをこれまた普通のメールで返します。パスワードは平文のままDBに格納されてます。
こんな所の管理者なんてイヤです。苦痛です。鬱です。
ついでに SSL 無しで住所から家族構成まで入力させているのですが、ユーザー数が1000を超えた割に苦情は1件しか入っていません。まぁ機会ロスはその数十倍ありそうですけど。
ただこういう状況だとリプレースの必要性を説いても説得力が落ちるんですね。どうしようもないシステムですが、意外とクライアントとユーザーの程度を考えると身の丈には合っているのかも~なんて思ったり。
で、リプレース用に自分で構築中のシステムではリマインダーを使って新しいパスワードで上書きし、ユーザーにそのパスワードを使ってログインしパスワードを再設定するよう促したメールを返します。パスワードは md5 ハッシュ値を取ってDBに格納しています。なので本人が忘れると終わり。
色々不備もありますが、まぁコストもかけれませんし、ユーザーオペレーションのコストを上げるとクライアントが煩い上に私の能力評価が下がるし、妥当な仕様かな、と。
Re:適当にやっても苦情率は 1/1000 (スコア:1)
俺が構築中のシステムでは、平文でパスワード送ります。
IDはメールアドレス。
パスワードは、計算で求めて(md5とsha1)、翌日いっぱいまで有効とかにするつもり。
DBにはパスワードもそのハッシュも格納しない。
前回パスワードを発行した時の日付やIPアドレスは保存し通知するかも。
名前とか生年月日とかを使う確認は取らないで、IDのメールアドレスにパスワード送信。
回線途中で覗くより、端末から盗む方が簡単だよね。
自分専用端末じゃない奴のことを配慮する方が、必要だと思ってます。
あと、自分専用端末でも、ウイルスとか、トロイの木馬とか、色々入っている奴がいるからね。
クッキーって平文で格納されるよね。セキュアのクッキーは別なのかな?
Re:適当にやっても苦情率は 1/1000 (スコア:1)
「セッションのクッキー」は普通 volatile なものです。
もちろん、開きっぱなしのブラウザをそのまま利用されてしまったらおしまいですけどね。
こんな所の管理者なんてイヤですか? (スコア:0)
Re:こんな所の管理者なんてイヤですか? (スコア:0)
「俺の知り合いだと入れちゃうよ?それで情報だだ漏れよ、どーよ?」みたいな感じで。
メールアドレスなんて使い分けていれば多少マシとしても今や名刺代わりみたいなもので、それに誕生日をセットにして認証ですか、、これで医療関係の質問履歴や個人情報が閲覧できたら終わりですな。