質問編集履歴
7
感想
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -1,17 +1,3 @@
|
|
|
1
|
-
```
|
|
2
|
-
|
|
3
|
-
追記1:
|
|
4
|
-
|
|
5
|
-
[SSLを利用したWebサービスでログインパスワードを安全に保存するには?](https://teratail.com/questions/49293)
|
|
6
|
-
|
|
7
|
-
既に同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
|
|
8
|
-
|
|
9
|
-
|
|
10
|
-
|
|
11
|
-
```
|
|
12
|
-
|
|
13
|
-
|
|
14
|
-
|
|
15
1
|
多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。
|
|
16
2
|
|
|
17
3
|
しかし、パスワードが直接渡ると、サーバー側で**(`分かりづらかったため追記3:`"クラッカー"ではなく"サーバー管理者"に)**パスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
|
|
@@ -32,7 +18,17 @@
|
|
|
32
18
|
|
|
33
19
|
```
|
|
34
20
|
|
|
21
|
+
追記1 質問の重複について:
|
|
22
|
+
|
|
23
|
+
SSLを利用したWebサービスでログインパスワードを安全に保存するには?(https://teratail.com/questions/49293)
|
|
24
|
+
|
|
25
|
+
既に同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
|
|
26
|
+
|
|
27
|
+
```
|
|
28
|
+
|
|
29
|
+
```
|
|
30
|
+
|
|
35
|
-
追記2:
|
|
31
|
+
追記2 タイトルの修正:
|
|
36
32
|
|
|
37
33
|
すでに解決した質問ですが、質問内容が伝わりづらかったため、タイトルに対して修正を行いました。
|
|
38
34
|
|
|
@@ -40,8 +36,42 @@
|
|
|
40
36
|
|
|
41
37
|
改題:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
|
|
42
38
|
|
|
39
|
+
```
|
|
43
40
|
|
|
41
|
+
|
|
42
|
+
|
|
43
|
+
```
|
|
44
|
+
|
|
45
|
+
追記4 感想:
|
|
44
46
|
|
|
45
47
|
ユーザーがサービス毎にパスワードを変えないことに問題があるという回答をいただき、解決済みとしました。
|
|
46
48
|
|
|
49
|
+
恥ずかしながら、私はサーバー管理者による悪用の対策としてパスワードを使いまわすことの問題点を知りませんでした。
|
|
50
|
+
|
|
51
|
+
要するにパスワードを使い回すな、ということで、質問文が分かりづらかったので、難しい質問だと捉えられてしまった方はすみませんでした。
|
|
52
|
+
|
|
53
|
+
|
|
54
|
+
|
|
55
|
+
しかし、パスワードを使いまわしているユーザーが8割以上いる現状を考えると、
|
|
56
|
+
|
|
57
|
+
パスワードを使いまわさないように周知すると同時に、
|
|
58
|
+
|
|
59
|
+
生のパスワードを送らせないためのなんらかの対策があったらいいなと思いました。
|
|
60
|
+
|
|
61
|
+
|
|
62
|
+
|
|
63
|
+
サービス側がクライアントサイドでハッシュ化していることを証明するのは無理でしょうが、クライアント側で解決できる問題なので、
|
|
64
|
+
|
|
65
|
+
例えばブラウザに、
|
|
66
|
+
|
|
67
|
+
デフォルトで1Passwordなどのツールをユーザーに使わせるようにしたり、
|
|
68
|
+
|
|
69
|
+
パスワードの入力画面を検出して、パスワードとドメイン名を結合したものをハッシュ化して置き換える、
|
|
70
|
+
|
|
71
|
+
(これならクライアント内で完結できますし、複数のコンピュータでも問題なく使えるはず)
|
|
72
|
+
|
|
73
|
+
などのような対策があったらいいのかなと思いました。
|
|
74
|
+
|
|
75
|
+
|
|
76
|
+
|
|
47
77
|
```
|
6
クラッカーではなくサーバー管理者に抜き取られることに対して疑念を抱いているということを明記
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -14,7 +14,7 @@
|
|
|
14
14
|
|
|
15
15
|
多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。
|
|
16
16
|
|
|
17
|
-
しかし、パスワードが直接渡ると、サーバー側でパスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
|
|
17
|
+
しかし、パスワードが直接渡ると、サーバー側で**(`分かりづらかったため追記3:`"クラッカー"ではなく"サーバー管理者"に)**パスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
|
|
18
18
|
|
|
19
19
|
そこで、パスワードをブラウザ側でハッシュ化してから送るような仕組みにすればこの心配は無くなると思うのですが、そのようなことは行われていません。これはどのような理由によるものなのでしょうか。
|
|
20
20
|
|
|
@@ -34,12 +34,14 @@
|
|
|
34
34
|
|
|
35
35
|
追記2:
|
|
36
36
|
|
|
37
|
+
すでに解決した質問ですが、質問内容が伝わりづらかったため、タイトルに対して修正を行いました。
|
|
38
|
+
|
|
37
39
|
旧題:多くのサービスがログイン時に生のパスワードをそのまま送っているのはなぜか
|
|
38
40
|
|
|
39
41
|
改題:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
|
|
40
42
|
|
|
41
|
-
すでに解決した質問ですが、質問文が漠然としていたので修正しました。
|
|
42
43
|
|
|
44
|
+
|
|
43
|
-
ユーザーがサービス毎にパスワードを変えないことに問題があるという
|
|
45
|
+
ユーザーがサービス毎にパスワードを変えないことに問題があるという回答をいただき、解決済みとしました。
|
|
44
46
|
|
|
45
47
|
```
|
5
改題について明記しました
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -1,8 +1,14 @@
|
|
|
1
|
+
```
|
|
2
|
+
|
|
1
|
-
追記:
|
|
3
|
+
追記1:
|
|
2
4
|
|
|
3
5
|
[SSLを利用したWebサービスでログインパスワードを安全に保存するには?](https://teratail.com/questions/49293)
|
|
4
6
|
|
|
5
|
-
同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
|
|
7
|
+
既に同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
|
|
8
|
+
|
|
9
|
+
|
|
10
|
+
|
|
11
|
+
```
|
|
6
12
|
|
|
7
13
|
|
|
8
14
|
|
|
@@ -24,20 +30,16 @@
|
|
|
24
30
|
|
|
25
31
|
|
|
26
32
|
|
|
27
|
-
|
|
33
|
+
```
|
|
28
34
|
|
|
29
35
|
追記2:
|
|
30
36
|
|
|
37
|
+
旧題:多くのサービスがログイン時に生のパスワードをそのまま送っているのはなぜか
|
|
38
|
+
|
|
39
|
+
改題:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
|
|
40
|
+
|
|
31
41
|
すでに解決した質問ですが、質問文が漠然としていたので修正しました。
|
|
32
42
|
|
|
43
|
+
ユーザーがサービス毎にパスワードを変えないことに問題があるということで、解決済みとさせていただきました。
|
|
33
44
|
|
|
34
|
-
|
|
35
|
-
質問:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」がパスワードを盗んで他のサービスに使ってしまうことはないのか
|
|
36
|
-
|
|
37
|
-
|
|
38
|
-
|
|
39
|
-
|
|
45
|
+
```
|
|
40
|
-
|
|
41
|
-
|
|
42
|
-
|
|
43
|
-
です。(恥ずかしながら、私はサビース一つ一つに別のパスワードを使用していませんでした。ユーザーというよりクライアント側でどうにかなる問題なので、ブラウザに標準でそのような機能を付けることはできないのでしょうか。パスワードの入力画面を検出して、パスワードとドメイン名を結合したものをハッシュ化、とかできないのでしょうか(探してみたら、パスワードをハッシュ化して管理する拡張機能などは存在しました。)
|
4
質問内容を具体的にした。
test
CHANGED
|
@@ -1 +1 @@
|
|
|
1
|
-
多くのサービスがログイン時に生のパスワードをそのまま送っている
|
|
1
|
+
多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
|
test
CHANGED
|
@@ -21,3 +21,23 @@
|
|
|
21
21
|
というのが考えられますが、
|
|
22
22
|
|
|
23
23
|
レインボーテーブルなどを使えば最低限のチェックはできるのではないかと考えました。
|
|
24
|
+
|
|
25
|
+
|
|
26
|
+
|
|
27
|
+
|
|
28
|
+
|
|
29
|
+
追記2:
|
|
30
|
+
|
|
31
|
+
すでに解決した質問ですが、質問文が漠然としていたので修正しました。
|
|
32
|
+
|
|
33
|
+
|
|
34
|
+
|
|
35
|
+
質問:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」がパスワードを盗んで他のサービスに使ってしまうことはないのか
|
|
36
|
+
|
|
37
|
+
|
|
38
|
+
|
|
39
|
+
解決した内容:そもそもユーザーはサービスごとに異なるパスワードを使うべき
|
|
40
|
+
|
|
41
|
+
|
|
42
|
+
|
|
43
|
+
です。(恥ずかしながら、私はサビース一つ一つに別のパスワードを使用していませんでした。ユーザーというよりクライアント側でどうにかなる問題なので、ブラウザに標準でそのような機能を付けることはできないのでしょうか。パスワードの入力画面を検出して、パスワードとドメイン名を結合したものをハッシュ化、とかできないのでしょうか(探してみたら、パスワードをハッシュ化して管理する拡張機能などは存在しました。)
|
3
タグを追加
test
CHANGED
|
File without changes
|
test
CHANGED
|
File without changes
|
2
記事の重複についての追記
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -1,3 +1,11 @@
|
|
|
1
|
+
追記:
|
|
2
|
+
|
|
3
|
+
[SSLを利用したWebサービスでログインパスワードを安全に保存するには?](https://teratail.com/questions/49293)
|
|
4
|
+
|
|
5
|
+
同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
|
|
6
|
+
|
|
7
|
+
|
|
8
|
+
|
|
1
9
|
多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。
|
|
2
10
|
|
|
3
11
|
しかし、パスワードが直接渡ると、サーバー側でパスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
|
1
サービスの範囲を明記
test
CHANGED
|
@@ -1 +1 @@
|
|
|
1
|
-
サービス
|
|
1
|
+
多くのサービスがログイン時に生のパスワードをそのまま送っているのはなぜか
|
test
CHANGED
|
File without changes
|