パスワードを忘れた? アカウント作成
13593792 comment

ozumaのコメント: Re:絵文字を使ったパスワード (スコア 2) 13

NIST SP 800-63Bを見る限り、Unicodeをパスワードとして使う時代はそう遠くないと思います。
NIST SP 800-63B

5.1.1.2 Memorized Secret Verifiers
....
All printing ASCII [RFC 20] characters as well as the space character SHOULD be acceptable in memorized secrets. Unicode [ISO/ISC 10646] characters SHOULD be accepted as well.
....

ここでは、全てのASCII文字列と、そしてUnicode文字もMemorized Secret(要するにパスワード)として扱えるようにすべきとなっています。

パスワードをハッシュ化するという当たり前のことをきちんとしていれば、結局はASCIIの文字列になるわけなので、Unicodeで漢字が来ようが、絵文字が来ようが、ヒエログリフが来ようが、理屈としては問題ないわけで。
(NFKD/NFKC正規化もきちんと担保しろよってことも、上記の800-63Bに書いてあります)

UTF-16だとサロゲートペアがきちんと扱えないアプリは全滅するでしょうが、そりゃ「ちゃんと対応しよう」と言うしかないわけで。

これを受けて、GCP(Google Cloud Platform)のブログでも、以下のように述べられています。
ユーザー アカウント、承認、パスワード管理に効く 12 のベスト プラクティス

ハッシュ化されたパスワードは、既知の ASCII 文字の一部だけで構成されます。そうでなくても、バイナリ ハッシュは簡単に Base64 に変換できます。
こうした点を踏まえると、ユーザーが使いたいあらゆる文字をパスワードに使用できるようにするべきです。Klingon や Emoji、両端に空白を含む制御文字をパスワードに含めたいユーザーがいたとしても、それを拒む技術的理由はないはずです。

12060042 journal
日記

ozumaの日記: ドラス 1

日記 by ozuma

こういう古臭い書体だと、やはり右から左に読みたくなる

12010389 comment

ozumaのコメント: Re:いいわけじゃないけど (スコア 1) 2

そうかー、IPv6にして、客ごとにその中でIPアドレス変動させてくれれば色々問題解決しますね。
そもそもIPv4の狭い空間でAWSがこういうことしているのが、根本問題な気がしてきた
12001642 journal
日記

ozumaの日記: AWSのELB(Elastic Load Balancing)は、セキュリティ的に問題ないのか 2

日記 by ozuma

AWS(Amazon Web Service)を個人的にボチボチいじっているのだけど、ELB(Elastic Load Balancing)が結構気持ち悪い。ので今日はその辺のお話。

ELBとはAWSが提供するロードバランサで、オートスケールと組み合わせることにより、トラヒック増大時にも自動的にスケールアップしてくれるというのが売りとなっている。内部的な話をすると、ひとつのELBにはひとつのFQDNが割り当てられ、スケールする際にはこのFQDNのIPアドレス(Aレコード)が変わるという若干トリッキーな動きをする。そのため、ユーザはIPアドレスではなく、常にFQDNでアクセスするようにしないといけない。(この他、配下のサーバのヘルスチェックもきめ細かくできるとか、Route 53の合わせ技が強力……とか色々あるけど本稿では関係ないので省略)。

11978165 journal
日記

ozumaの日記: ウイルスバスター Corp. 11.0が、サポート切れのPHP 5.3系を入れてくる

日記 by ozuma

ウイルスバスター コーポレートエディションの最新版(11.0)を入れると、一緒にPHP 5.3.27を入れてくるのだが……
http://esupport.trendmicro.com/solution/ja-jp/1105384.aspx

インストールすると、以下のモジュールが同時にインストールされます。古いバージョンがインストール済みの場合、自動的にアップグレードされるため、他のシステムで利用中の場合はご注意ください。

PHP 5.3.27 (IIS、Apache共に同じバージョン)

11927540 journal
日記

ozumaの日記: wu-ftpdってもう公式サイトが無い? 2

日記 by ozuma

ちょっと昔の調べ物をしていて、wu-ftpdの公式サイトを訪れたら……接続できず。
http://www.wu-ftpd.org/

む、もはや公式サイト自体が終了して完全EOLなのか?
その辺をきちんと言及しているところが無いので、なんとなくモヤっとしています。どっかで終了宣言出てたかしら

11900206 comment

ozumaのコメント: 映画「スニーカーズ」に (スコア 4, 参考になる) 27

ホイッスラーという盲目のハッカーがいましたね。
点字ディスプレイ(ピンディスプレイ)を使うシーンが印象的でした。

昨今はなんでもかんでもインタフェースをタッチパネルにしちゃうけど、盲目の人はタッチパネルが全く操作できないってことはもっと意識されるべきだと思う。
普通にボタンにしておけば、手探りでも問題なく押せるのになー
11839156 journal
apache

ozumaの日記: IPアドレスでのアクセスブロックはDocumentRootを/tmp? 8

日記 by ozuma

またもや久々の日記更新だ。

Apache HTTP Serverで、「FQDNではなくIPアドレスでアクセスされた際(つまりHostヘッダがIPアドレスの場合)には、403 Forbiddenを返したいなぁ」というのは時折ある。まぁIPアドレス直で来るようなやつは、だいたい悪いやつらのスキャンだからね……。
で、普通はVirtualHostのanyの方でDenyしておけば良いよね。

<VirtualHost *:80>
    ServerName any
    <Location />
        Order Allow,Deny
        Deny from all
    </Location>
</VirtualHost>

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...