teratail header banner
teratail header banner
質問するログイン新規登録

質問編集履歴

7

感想

2017/12/13 03:54

投稿

ishowta
ishowta

スコア20

title CHANGED
File without changes
body CHANGED
@@ -1,10 +1,3 @@
1
- ```
2
- 追記1:
3
- [SSLを利用したWebサービスでログインパスワードを安全に保存するには?](https://teratail.com/questions/49293)
4
- 既に同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
5
-
6
- ```
7
-
8
1
  多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。
9
2
  しかし、パスワードが直接渡ると、サーバー側で**(`分かりづらかったため追記3:`"クラッカー"ではなく"サーバー管理者"に)**パスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
10
3
  そこで、パスワードをブラウザ側でハッシュ化してから送るような仕組みにすればこの心配は無くなると思うのですが、そのようなことは行われていません。これはどのような理由によるものなのでしょうか。
@@ -15,10 +8,32 @@
15
8
  レインボーテーブルなどを使えば最低限のチェックはできるのではないかと考えました。
16
9
 
17
10
  ```
11
+ 追記1 質問の重複について:
12
+ SSLを利用したWebサービスでログインパスワードを安全に保存するには?(https://teratail.com/questions/49293)
13
+ 既に同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
14
+ ```
15
+ ```
18
- 追記2:
16
+ 追記2 タイトルの修正
19
17
  すでに解決した質問ですが、質問内容が伝わりづらかったため、タイトルに対して修正を行いました。
20
18
  旧題:多くのサービスがログイン時に生のパスワードをそのまま送っているのはなぜか
21
19
  改題:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
20
+ ```
22
21
 
22
+ ```
23
+ 追記4 感想:
23
24
  ユーザーがサービス毎にパスワードを変えないことに問題があるという回答をいただき、解決済みとしました。
25
+ 恥ずかしながら、私はサーバー管理者による悪用の対策としてパスワードを使いまわすことの問題点を知りませんでした。
26
+ 要するにパスワードを使い回すな、ということで、質問文が分かりづらかったので、難しい質問だと捉えられてしまった方はすみませんでした。
27
+
28
+ しかし、パスワードを使いまわしているユーザーが8割以上いる現状を考えると、
29
+ パスワードを使いまわさないように周知すると同時に、
30
+ 生のパスワードを送らせないためのなんらかの対策があったらいいなと思いました。
31
+
32
+ サービス側がクライアントサイドでハッシュ化していることを証明するのは無理でしょうが、クライアント側で解決できる問題なので、
33
+ 例えばブラウザに、
34
+ デフォルトで1Passwordなどのツールをユーザーに使わせるようにしたり、
35
+ パスワードの入力画面を検出して、パスワードとドメイン名を結合したものをハッシュ化して置き換える、
36
+ (これならクライアント内で完結できますし、複数のコンピュータでも問題なく使えるはず)
37
+ などのような対策があったらいいのかなと思いました。
38
+
24
39
  ```

6

クラッカーではなくサーバー管理者に抜き取られることに対して疑念を抱いているということを明記

2017/12/13 03:54

投稿

ishowta
ishowta

スコア20

title CHANGED
File without changes
body CHANGED
@@ -6,7 +6,7 @@
6
6
  ```
7
7
 
8
8
  多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。
9
- しかし、パスワードが直接渡ると、サーバー側でパスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
9
+ しかし、パスワードが直接渡ると、サーバー側で**(`分かりづらかったため追記3:`"クラッカー"ではなく"サーバー管理者"に)**パスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
10
10
  そこで、パスワードをブラウザ側でハッシュ化してから送るような仕組みにすればこの心配は無くなると思うのですが、そのようなことは行われていません。これはどのような理由によるものなのでしょうか。
11
11
 
12
12
  ハッシュ化することの問題点として、
@@ -16,8 +16,9 @@
16
16
 
17
17
  ```
18
18
  追記2:
19
+ すでに解決した質問ですが、質問内容が伝わりづらかったため、タイトルに対して修正を行いました。
19
20
  旧題:多くのサービスがログイン時に生のパスワードをそのまま送っているのはなぜか
20
21
  改題:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
21
- すでに解決した質問ですが、質問文が漠然としていたので修正しました。
22
+
22
- ユーザーがサービス毎にパスワードを変えないことに問題があるということで、解決済みとさせていただきました。
23
+ ユーザーがサービス毎にパスワードを変えないことに問題があるという回答をいただき、解決済みとました。
23
24
  ```

5

改題について明記しました

2017/12/12 03:25

投稿

ishowta
ishowta

スコア20

title CHANGED
File without changes
body CHANGED
@@ -1,7 +1,10 @@
1
+ ```
1
- 追記:
2
+ 追記
2
3
  [SSLを利用したWebサービスでログインパスワードを安全に保存するには?](https://teratail.com/questions/49293)
3
- 同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
4
+ 既に同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
4
5
 
6
+ ```
7
+
5
8
  多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。
6
9
  しかし、パスワードが直接渡ると、サーバー側でパスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
7
10
  そこで、パスワードをブラウザ側でハッシュ化してから送るような仕組みにすればこの心配は無くなると思うのですが、そのようなことは行われていません。これはどのような理由によるものなのでしょうか。
@@ -11,12 +14,10 @@
11
14
  というのが考えられますが、
12
15
  レインボーテーブルなどを使えば最低限のチェックはできるのではないかと考えました。
13
16
 
14
-
17
+ ```
15
18
  追記2:
19
+ 旧題:多くのサービスがログイン時に生のパスワードをそのまま送っているのはなぜか
20
+ 改題:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
16
21
  すでに解決した質問ですが、質問文が漠然としていたので修正しました。
17
-
18
- 質問:多くのサービスがログイン時生のパスワードをそのまま送ってるが、「サーバー管理者」がパスワードを盗んで他のサービス使ってしまうことはなのか
22
+ ユーザーがサービスにパスワードを変えなこと問題があるということで、解決済みとさせてただきました。
19
-
20
- 解決した内容:そもそもユーザーはサービスごとに異なるパスワードを使うべき
23
+ ```
21
-
22
- です。(恥ずかしながら、私はサビース一つ一つに別のパスワードを使用していませんでした。ユーザーというよりクライアント側でどうにかなる問題なので、ブラウザに標準でそのような機能を付けることはできないのでしょうか。パスワードの入力画面を検出して、パスワードとドメイン名を結合したものをハッシュ化、とかできないのでしょうか(探してみたら、パスワードをハッシュ化して管理する拡張機能などは存在しました。)

4

質問内容を具体的にした。

2017/12/12 02:20

投稿

ishowta
ishowta

スコア20

title CHANGED
@@ -1,1 +1,1 @@
1
- 多くのサービスがログイン時に生のパスワードをそのまま送っているはな
1
+ 多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないの
body CHANGED
@@ -9,4 +9,14 @@
9
9
  ハッシュ化することの問題点として、
10
10
  パスワードが推測されやすい文字列になっていないか確認できない。
11
11
  というのが考えられますが、
12
- レインボーテーブルなどを使えば最低限のチェックはできるのではないかと考えました。
12
+ レインボーテーブルなどを使えば最低限のチェックはできるのではないかと考えました。
13
+
14
+
15
+ 追記2:
16
+ すでに解決した質問ですが、質問文が漠然としていたので修正しました。
17
+
18
+ 質問:多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」がパスワードを盗んで他のサービスに使ってしまうことはないのか
19
+
20
+ 解決した内容:そもそもユーザーはサービスごとに異なるパスワードを使うべき
21
+
22
+ です。(恥ずかしながら、私はサビース一つ一つに別のパスワードを使用していませんでした。ユーザーというよりクライアント側でどうにかなる問題なので、ブラウザに標準でそのような機能を付けることはできないのでしょうか。パスワードの入力画面を検出して、パスワードとドメイン名を結合したものをハッシュ化、とかできないのでしょうか(探してみたら、パスワードをハッシュ化して管理する拡張機能などは存在しました。)

3

タグを追加

2017/12/07 01:02

投稿

ishowta
ishowta

スコア20

title CHANGED
File without changes
body CHANGED
File without changes

2

記事の重複についての追記

2017/12/06 18:09

投稿

ishowta
ishowta

スコア20

title CHANGED
File without changes
body CHANGED
@@ -1,3 +1,7 @@
1
+ 追記:
2
+ [SSLを利用したWebサービスでログインパスワードを安全に保存するには?](https://teratail.com/questions/49293)
3
+ 同じような質問がありました。重複した質問をしてしまいました。すみません。(何故か議論が途中で途切れているようにみえますが)
4
+
1
5
  多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。
2
6
  しかし、パスワードが直接渡ると、サーバー側でパスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。
3
7
  そこで、パスワードをブラウザ側でハッシュ化してから送るような仕組みにすればこの心配は無くなると思うのですが、そのようなことは行われていません。これはどのような理由によるものなのでしょうか。

1

サービスの範囲を明記

2017/12/06 18:08

投稿

ishowta
ishowta

スコア20

title CHANGED
@@ -1,1 +1,1 @@
1
- サービスログイン時に生のパスワードをそのまま送っているのはなぜか
1
+ 多くのサービスログイン時に生のパスワードをそのまま送っているのはなぜか
body CHANGED
File without changes