Content-Length: 54443 | pFad | https://srad.jp/comment/1744273
アカウント名:
パスワード:
docomo IDを作ると生でパスワードを保管されてしまう [takagi-hiromitsu.jp]
これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。
相変わらず理解できない文章を書く人ですね。IDとパスワードは大事なんだし、オリジナルを保存しておいて照合する人が大多数なのに(笑)
エイプリルフールは過ぎていますよ。
きっと 3月36日 が納期だったんですね。
そのコメント、いくらなんでもネタですよね?
個人レベルの会社から日本屈指の大企業まで揃ってこのザマって言いたいんじゃね
高木センセはそうだろうけど#1744273はちょっとウケ狙いにしても酷いでしょw
md5関数使って32文字の怪しげな文字列に変換し、ユーザがログインするときにはフォームから渡されたパスワード(らしいテキスト)をmd5で変換して照合している俺はどうやらガラパゴスだったらしい。
きっと舶来信仰ですよ。日本人なら平文で!
# リカバリの問い合わせするとメールで送ってくれるサービスというのはたまに見かけることも事実ですけど# パスワードはハッシュを照合すべし、って当たり前だと思ってました
実際問題として「パスワードのハッシュ」を保存する方法の場合利用者がパスワードを忘れた場合、サーバ側に生パスワードはありませんから、新たなパスワードを作りなおすことしかできません。
無難に行くならワンタイムのパスワード再設定ページのURLをメールするとか、ランダムなパスワードを生成して、そのパスワードをメールするとか、そんなところでしょうか。
#パスワードをメールで送るのはどうよ、って意見もありそうですが、#この際、生パスワードをメールするとかには目を瞑ってます。#そもそも、オンライン登録ではメール以外に有効な確認手段が無いし…#「パスワード忘れました。メールアドレス変わってます」なんてときには途方にくれますが…
ところが、そういうのは不便だっていう利用者が多いんですよ。そのせいか、「パスワードを忘れた場合は」ってのをクリックすると、現在設定しているパスワードがメールで送られてくるサイトも結構あります。
そういう利用者側のセキュリティを無視した利用者の要求を揶揄したのが元コメントでしょう。(笑)って付いてるし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
Fetched URL: https://srad.jp/comment/1744273
Alternative Proxies:
Alternative Proxy
pFad Proxy
pFad v3 Proxy
pFad v4 Proxy
電電公社では… (スコア:2, おもしろおかしい)
docomo IDを作ると生でパスワードを保管されてしまう [takagi-hiromitsu.jp]
これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。
相変わらず理解できない文章を書く人ですね。IDとパスワードは大事なんだし、オリジナルを保存しておいて照合する人が大多数なのに(笑)
Re:電電公社では… (スコア:1)
エイプリルフールは過ぎていますよ。
Re: (スコア:0)
きっと 3月36日 が納期だったんですね。
Re: (スコア:0)
そのコメント、いくらなんでもネタですよね?
Re: (スコア:0)
Re: (スコア:0)
個人レベルの会社から日本屈指の大企業まで揃ってこのザマって言いたいんじゃね
Re:電電公社では… (スコア:1)
高木センセはそうだろうけど
#1744273はちょっとウケ狙いにしても酷いでしょw
Re: (スコア:0)
md5関数使って32文字の怪しげな文字列に変換し、
ユーザがログインするときにはフォームから渡されたパスワード(らしいテキスト)をmd5で変換して照合している俺はどうやらガラパゴスだったらしい。
Re:電電公社では… (スコア:2)
きっと舶来信仰ですよ。日本人なら平文で!
# リカバリの問い合わせするとメールで送ってくれるサービスというのはたまに見かけることも事実ですけど
# パスワードはハッシュを照合すべし、って当たり前だと思ってました
Re:電電公社では… (スコア:1)
実際問題として「パスワードのハッシュ」を保存する方法の場合
利用者がパスワードを忘れた場合、サーバ側に生パスワードはありませんから、
新たなパスワードを作りなおすことしかできません。
無難に行くならワンタイムのパスワード再設定ページのURLをメールするとか、
ランダムなパスワードを生成して、そのパスワードをメールするとか、
そんなところでしょうか。
#パスワードをメールで送るのはどうよ、って意見もありそうですが、
#この際、生パスワードをメールするとかには目を瞑ってます。
#そもそも、オンライン登録ではメール以外に有効な確認手段が無いし…
#「パスワード忘れました。メールアドレス変わってます」なんてときには途方にくれますが…
ところが、そういうのは不便だっていう利用者が多いんですよ。
そのせいか、「パスワードを忘れた場合は」ってのをクリックすると、
現在設定しているパスワードがメールで送られてくるサイトも結構あります。
そういう利用者側のセキュリティを無視した利用者の要求を揶揄したのが元コメントでしょう。(笑)って付いてるし。