アカウント名:
パスワード:
パスワードに限らず、HTML上にあるinputやtextareaのmaxlength指定と、サーバー側の処理が一致してなくて、HTML書き換えてmaxlengthを超える文字列を送信できるサイト多すぎじゃね?いつか溢れるぞこれ。
パスワードが長すぎると正しいパスワードでもログインに失敗するサイトがあったな。
弊社のあの仕組みですか?
設定の時に 17 文字入力したんですが、(どこにも記述されていませんし、後で納入会社に確認してわかりましたが)許可されている最大文字数は 8 文字でした。……で、 17 文字で設定すると、先頭の 8 文字にしてもログインできないという仕様→おそらく設定時は 9 文字以上のハッシュをしていて、ログインするときは先頭の 8 文字( 9 文字目以降は捨てる)でハッシュしているんじゃないかと。(検証は 8 文字で設定して、 9 文字以上入れても先頭の 8 文字が一致していればログインできる)
さらにクソなのは文字列に ; とか | や \ が混ざってるとやっぱりログインできなくなっちゃうw要するに数字とアルファベットだけ使えということでした。(一応、自分でできる検証で「 - 」ハイフンや「 . 」ドットなど一部使えるものありましたが、ドレが使えるかは説明がなかったので怖くて設定できませんでした)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
できるだけ最大の文字列にしてるが、 (スコア:0)
パスワードに限らず、HTML上にあるinputやtextareaのmaxlength指定と、サーバー側の処理が一致してなくて、HTML書き換えてmaxlengthを超える文字列を送信できるサイト多すぎじゃね?
いつか溢れるぞこれ。
Re:できるだけ最大の文字列にしてるが、 (スコア:0)
パスワードが長すぎると正しいパスワードでもログインに失敗するサイトがあったな。
Re: (スコア:0)
弊社のあの仕組みですか?
設定の時に 17 文字入力したんですが、(どこにも記述されていませんし、後で納入会社に確認してわかりましたが)許可されている最大文字数は 8 文字でした。
……で、 17 文字で設定すると、先頭の 8 文字にしてもログインできないという仕様→おそらく設定時は 9 文字以上のハッシュをしていて、ログインするときは先頭の 8 文字( 9 文字目以降は捨てる)でハッシュしているんじゃないかと。(検証は 8 文字で設定して、 9 文字以上入れても先頭の 8 文字が一致していればログインできる)
さらにクソなのは文字列に ; とか | や \ が混ざってるとやっぱりログインできなくなっちゃうw
要するに数字とアルファベットだけ使えということでした。(一応、自分でできる検証で「 - 」ハイフンや「 . 」ドットなど一部使えるものありましたが、ドレが使えるかは説明がなかったので怖くて設定できませんでした)