Q&A
JS(JavaScript)でバリデーションしているユーザー登録フォームや購入フォームはよく見かけますが、
ログインフォームの特にパスワード入力欄に必須チェック以外を実装しているサイトを見たことがありません。
文字数制限や入力不可文字などが存在するのですから、それらのバリデーションを実装したほうがユーザビリティは良いと思うのですが、実装しないのは何か理由があるのでしょうか?
回答3件
0
それは悪意を持ったユーザーに余計なヒントを与えないようにするためです。
投稿2016/09/05 09:16
退会済みユーザー
総合スコア0
0
ベストアンサー
ほかの回答者がおっしゃる通り、セキュリティ上の理由、で終わりですが、
質問者の方としては、「そんな大差ないでしょ」と納得いかないのでしょう。
まず、暗黙の除外記号や制限文字数が判明すると、
組み合わせ数が意外と大きく減ると私は思います。
しかしまあ、質問者の方が思われるように、
あるいは大差ない場合もあるとしましょう。
その場合でも割れ窓理論もありますね。
セキュリティ上の攻撃者が、1サイトだけを狙うなら、
どのみち登録フォームとかの情報から割れてしまうと。
しかし、極端な話、1万サイトではどうしょうか?
たとえば、パスワードまわりにJSで触ってるものだけ、
クローラーで機械的に解読、抽出して狙いをつけるとか。
それが正当な攻撃の戦略かどうか、はどうでもいいのです。
たとえどんな低確率でも、攻撃の可能性は低い方が良いのです。
投稿2016/09/05 17:29
編集2016/09/05 17:36
総合スコア5594
0
JavaScript のコードは簡単に見られてしまいます。
そのコードを読むことで、パスワードとして試せば良いものをある程度絞れてしまいます。
サーバー側で、バリデーションをして、不正だったことだけを知らせるようにすれば、パスワードとして試すものを絞る条件は得にくくなります。
投稿2016/09/05 16:29
総合スコア22328
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/09/05 09:24
退会済みユーザー
2016/09/05 09:36
2016/09/05 11:02
退会済みユーザー
2016/09/05 11:07 編集