質問編集履歴
7
感想
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,10 +1,3 @@
|
|
|
1
|
-
```
|
|
2
|
-
追記1:
|
|
3
|
-
[SSLを利用したWebサービスでログインパスワードを安全に保存するには?](https://teratail.com/questions/49293)
|
|
4
|
-
既に同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
|
|
5
|
-
|
|
6
|
-
```
|
|
7
|
-
|
|
8
1
|
多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。
|
|
9
2
|
しかし、パスワードが直接渡ると、サーバー側で**(`分かりづらかったため追記3:`"クラッカー"ではなく"サーバー管理者"に)**パスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
|
|
10
3
|
そこで、パスワードをブラウザ側でハッシュ化してから送るような仕組みにすればこの心配は無くなると思うのですが、そのようなことは行われていません。これはどのような理由によるものなのでしょうか。
|
|
@@ -15,10 +8,32 @@
|
|
|
15
8
|
レインボーテーブルなどを使えば最低限のチェックはできるのではないかと考えました。
|
|
16
9
|
|
|
17
10
|
```
|
|
11
|
+
追記1 質問の重複について:
|
|
12
|
+
SSLを利用したWebサービスでログインパスワードを安全に保存するには?(https://teratail.com/questions/49293)
|
|
13
|
+
既に同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
|
|
14
|
+
```
|
|
15
|
+
```
|
|
18
|
-
追記2:
|
|
16
|
+
追記2 タイトルの修正:
|
|
19
17
|
すでに解決した質問ですが、質問内容が伝わりづらかったため、タイトルに対して修正を行いました。
|
|
20
18
|
旧題:多くのサービスがログイン時に生のパスワードをそのまま送っているのはなぜか
|
|
21
19
|
改題:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
|
|
20
|
+
```
|
|
22
21
|
|
|
22
|
+
```
|
|
23
|
+
追記4 感想:
|
|
23
24
|
ユーザーがサービス毎にパスワードを変えないことに問題があるという回答をいただき、解決済みとしました。
|
|
25
|
+
恥ずかしながら、私はサーバー管理者による悪用の対策としてパスワードを使いまわすことの問題点を知りませんでした。
|
|
26
|
+
要するにパスワードを使い回すな、ということで、質問文が分かりづらかったので、難しい質問だと捉えられてしまった方はすみませんでした。
|
|
27
|
+
|
|
28
|
+
しかし、パスワードを使いまわしているユーザーが8割以上いる現状を考えると、
|
|
29
|
+
パスワードを使いまわさないように周知すると同時に、
|
|
30
|
+
生のパスワードを送らせないためのなんらかの対策があったらいいなと思いました。
|
|
31
|
+
|
|
32
|
+
サービス側がクライアントサイドでハッシュ化していることを証明するのは無理でしょうが、クライアント側で解決できる問題なので、
|
|
33
|
+
例えばブラウザに、
|
|
34
|
+
デフォルトで1Passwordなどのツールをユーザーに使わせるようにしたり、
|
|
35
|
+
パスワードの入力画面を検出して、パスワードとドメイン名を結合したものをハッシュ化して置き換える、
|
|
36
|
+
(これならクライアント内で完結できますし、複数のコンピュータでも問題なく使えるはず)
|
|
37
|
+
などのような対策があったらいいのかなと思いました。
|
|
38
|
+
|
|
24
39
|
```
|
6
クラッカーではなくサーバー管理者に抜き取られることに対して疑念を抱いているということを明記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -6,7 +6,7 @@
|
|
|
6
6
|
```
|
|
7
7
|
|
|
8
8
|
多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。
|
|
9
|
-
しかし、パスワードが直接渡ると、サーバー側でパスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
|
|
9
|
+
しかし、パスワードが直接渡ると、サーバー側で**(`分かりづらかったため追記3:`"クラッカー"ではなく"サーバー管理者"に)**パスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
|
|
10
10
|
そこで、パスワードをブラウザ側でハッシュ化してから送るような仕組みにすればこの心配は無くなると思うのですが、そのようなことは行われていません。これはどのような理由によるものなのでしょうか。
|
|
11
11
|
|
|
12
12
|
ハッシュ化することの問題点として、
|
|
@@ -16,8 +16,9 @@
|
|
|
16
16
|
|
|
17
17
|
```
|
|
18
18
|
追記2:
|
|
19
|
+
すでに解決した質問ですが、質問内容が伝わりづらかったため、タイトルに対して修正を行いました。
|
|
19
20
|
旧題:多くのサービスがログイン時に生のパスワードをそのまま送っているのはなぜか
|
|
20
21
|
改題:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
|
|
21
|
-
|
|
22
|
+
|
|
22
|
-
ユーザーがサービス毎にパスワードを変えないことに問題があるという
|
|
23
|
+
ユーザーがサービス毎にパスワードを変えないことに問題があるという回答をいただき、解決済みとしました。
|
|
23
24
|
```
|
5
改題について明記しました
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,7 +1,10 @@
|
|
|
1
|
+
```
|
|
1
|
-
追記:
|
|
2
|
+
追記1:
|
|
2
3
|
[SSLを利用したWebサービスでログインパスワードを安全に保存するには?](https://teratail.com/questions/49293)
|
|
3
|
-
同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
|
|
4
|
+
既に同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
|
|
4
5
|
|
|
6
|
+
```
|
|
7
|
+
|
|
5
8
|
多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。
|
|
6
9
|
しかし、パスワードが直接渡ると、サーバー側でパスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
|
|
7
10
|
そこで、パスワードをブラウザ側でハッシュ化してから送るような仕組みにすればこの心配は無くなると思うのですが、そのようなことは行われていません。これはどのような理由によるものなのでしょうか。
|
|
@@ -11,12 +14,10 @@
|
|
|
11
14
|
というのが考えられますが、
|
|
12
15
|
レインボーテーブルなどを使えば最低限のチェックはできるのではないかと考えました。
|
|
13
16
|
|
|
14
|
-
|
|
17
|
+
```
|
|
15
18
|
追記2:
|
|
19
|
+
旧題:多くのサービスがログイン時に生のパスワードをそのまま送っているのはなぜか
|
|
20
|
+
改題:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
|
|
16
21
|
すでに解決した質問ですが、質問文が漠然としていたので修正しました。
|
|
17
|
-
|
|
18
|
-
|
|
22
|
+
ユーザーがサービス毎にパスワードを変えないことに問題があるということで、解決済みとさせていただきました。
|
|
19
|
-
|
|
20
|
-
|
|
23
|
+
```
|
|
21
|
-
|
|
22
|
-
です。(恥ずかしながら、私はサビース一つ一つに別のパスワードを使用していませんでした。ユーザーというよりクライアント側でどうにかなる問題なので、ブラウザに標準でそのような機能を付けることはできないのでしょうか。パスワードの入力画面を検出して、パスワードとドメイン名を結合したものをハッシュ化、とかできないのでしょうか(探してみたら、パスワードをハッシュ化して管理する拡張機能などは存在しました。)
|
4
質問内容を具体的にした。
title
CHANGED
|
@@ -1,1 +1,1 @@
|
|
|
1
|
-
多くのサービスがログイン時に生のパスワードをそのまま送っている
|
|
1
|
+
多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
|
body
CHANGED
|
@@ -9,4 +9,14 @@
|
|
|
9
9
|
ハッシュ化することの問題点として、
|
|
10
10
|
パスワードが推測されやすい文字列になっていないか確認できない。
|
|
11
11
|
というのが考えられますが、
|
|
12
|
-
レインボーテーブルなどを使えば最低限のチェックはできるのではないかと考えました。
|
|
12
|
+
レインボーテーブルなどを使えば最低限のチェックはできるのではないかと考えました。
|
|
13
|
+
|
|
14
|
+
|
|
15
|
+
追記2:
|
|
16
|
+
すでに解決した質問ですが、質問文が漠然としていたので修正しました。
|
|
17
|
+
|
|
18
|
+
質問:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」がパスワードを盗んで他のサービスに使ってしまうことはないのか
|
|
19
|
+
|
|
20
|
+
解決した内容:そもそもユーザーはサービスごとに異なるパスワードを使うべき
|
|
21
|
+
|
|
22
|
+
です。(恥ずかしながら、私はサビース一つ一つに別のパスワードを使用していませんでした。ユーザーというよりクライアント側でどうにかなる問題なので、ブラウザに標準でそのような機能を付けることはできないのでしょうか。パスワードの入力画面を検出して、パスワードとドメイン名を結合したものをハッシュ化、とかできないのでしょうか(探してみたら、パスワードをハッシュ化して管理する拡張機能などは存在しました。)
|
3
タグを追加
title
CHANGED
|
File without changes
|
body
CHANGED
|
File without changes
|
2
記事の重複についての追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,3 +1,7 @@
|
|
|
1
|
+
追記:
|
|
2
|
+
[SSLを利用したWebサービスでログインパスワードを安全に保存するには?](https://teratail.com/questions/49293)
|
|
3
|
+
同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
|
|
4
|
+
|
|
1
5
|
多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。
|
|
2
6
|
しかし、パスワードが直接渡ると、サーバー側でパスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
|
|
3
7
|
そこで、パスワードをブラウザ側でハッシュ化してから送るような仕組みにすればこの心配は無くなると思うのですが、そのようなことは行われていません。これはどのような理由によるものなのでしょうか。
|
1
サービスの範囲を明記
title
CHANGED
|
@@ -1,1 +1,1 @@
|
|
|
1
|
-
サービス
|
|
1
|
+
多くのサービスがログイン時に生のパスワードをそのまま送っているのはなぜか
|
body
CHANGED
|
File without changes
|