Q&A
巷にあふれている、
新規登録機能の仕様についての質問です。
新規登録で、空欄や入力ミスなどで再入力になった場合、
なぜ入力済のパスワードが、正誤に関わらず、クリアされるのでしょうか。
セキュリティ面から考えてみたのですが、
ユーザビリティの低下を補うほどの、セキュリティの向上が期待できるのか疑問に思いました。
例えば、再入力になった=信頼性が低いユーザ
ということになり、アカウントを不正に取得するユーザである可能性を考慮して、
パスワードをクリアするということがあると考えたのですが、
不正ユーザからすれば、パスワードがクリアされてもまた打ち込めば良いだけで、対策になっているのか疑問です。
不正ユーザが人ではなく、プログラムであれば、ある程度、有効なのかもしれませんが。
回答よろしくおねがいします。
回答2件
0
なぜ入力済のパスワードが、正誤に関わらず、クリアされるのでしょうか。
個人的には悪しき風習と考えています。
通信はSSLで暗号化できますし、キャッシュ制御はサーバサイドから可能です。
更には、何度もパスワード入力する事でショルダーハックされる可能性を高めています。
同じ内容を何度も入力させるのはリソースの無駄遣いですので、セッションで持ち越せばいいのです。
(対策1)
- 秘匿性の高いユーザID/Passwordを入力させ、submit
- 既存IDに競合がなければ、秘匿性の低い情報を続けて入力させる(ユーザID/Passwordはセッションで引き継ぐ)
(対策2)
- フォームのsubmit時に非同期通信(XMLHttpRequest)し、エラーチェックを行う
- エラーがなければ、submit成功(ページ遷移が発生)となり、エラーがあるのならページ遷移せずに同ページ内でエラー箇所を明示する
Re: takahiro2005 さん
投稿2018/03/26 12:49
総合スコア18166
0
返却されるHTMLに平分で書かれることを理解してますか?
平分で書かれたキャッシュがもし残ってたらパスワードはいつでも漏れますよね。
投稿2018/03/26 11:27
編集2018/03/26 11:29
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。