Q&A
調べたこと試したことを記載してください。
何も出ない内容には思えませんが・・
WEBアプリで認証にはユーザーIDとパスワードをクライアントからサーバーに送信しますが、これは平分で送信すると漏洩する可能性があります。そういう場合どのような仕組みで漏洩を防いでいますか?
質問前に調べてわかったこと
- HTTPでは暗号化されないので平分のまま通信を行うと危険。
これまでの回答でわかったこと
- HTTPSであれば平分の送信でもOK。ただし、サーバーにパスワードそのもののログが残る可能性があるのでクライアントとサーバーの両方でハッシュ関数を通す。
まだわからないこと
- HTTPの場合は、暗号化は通常されません。そのためパスワードを平分で送信すると簡単に漏洩すると思います。これはもはやHTTPのサーバーをそもそも使用しないという選択が最善な気がしますが、これに関してHTTPSにのみ対応することで生じるデメリットはあるでしょうか?
なんかその「・・」めっちゃ気色悪いわ
それを伝えてどうしたいのですか?
自身の丸投げは棚に上げたままですよね。
質問修正はすでにしましたが・・
「調べたこと試したこと」です。
「これまでの回答」とは何のどれのどこを読んでなのか分からないし、
本来こちらが指摘したのは「質問前にやったこと」です。
何のどれのどこを読んだのか記す意味はなんですか?HTTPSはSSL通信により暗号化されるとすぐ下の回答に文字通り明示されてますが・・
> 何のどれのどこを読んだのか記す意味はなんですか?
https://teratail.com/help/question-tips#questionTips3-5
↑のガイドラインに書いてある通りだけど、回答者が回答する時に
「○○は試しましたか?」と聞いたときに質問者がそれを既にやっていた場合、
互いにとって無駄な手間になります。そういった事を減らすために自分が試したこと、
調査したことを明確に書いておくと回答者も回答がしやすいって事ですね。
回答3件
0
これはもはやHTTPのサーバーをそもそも使用しないという選択が最善な気がします
はい。「常時SSL」というキーワードとともに、「HTTPを使用しない」という運用が一般的になってきました。
これに関してHTTPSにのみ対応することで生じるデメリットはあるでしょうか?
HTTPSに対応する際の課題は次の2点でした。
- 証明書の費用が掛かる
- 暗号化にCPUパワーを要する
いずれも、無料の証明書の普及やCPUパワーの増加により解消されています。
なお、サーバー内でのパスワードの保存については以下の動画を見ていただくとよいと思います。最後の動画が具体的な保存方法です。
投稿2021/07/21 00:43
総合スコア11705
0
投稿2021/07/18 20:56
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
