質問編集履歴
9
a
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -18,6 +18,7 @@
|
|
|
18
18
|
また、設計次第ですが、IDの存在有無によってパスワード入力画面に遷移できるかの条件分岐があるなら、IDが存在しているかのチェックができてしまう脆弱な設計だと思います。
|
|
19
19
|
Yahooのようなサービスならスパムメールを送信する前に、宛先が存在するかどうかのチェックに利用されてしまうのではないでしょうか?
|
|
20
20
|
証券会社のシステムならメールアドレス登録有無チェックに利用されて、なりすましなどで「あなたは◯◯◯証券会社を利用してますよね。△△△という話があるのですが・・・」というように悪性されてしまうのではないでしょうか。
|
|
21
|
+
また、応答内容に `{ "email_exists": true }` のような直接的な表現が含まれていないとしても、タイミング攻撃によって存在の有無を推測する事も可能です。
|
|
21
22
|
メリットがあると感じません。
|
|
22
23
|
|
|
23
24
|
- 開発の手間
|
8
a
title
CHANGED
|
File without changes
|
body
CHANGED
|
File without changes
|
7
a
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -17,6 +17,7 @@
|
|
|
17
17
|
フォームで対策するのではなくCAPTCHAや多要素認証やレートリミットを実装して対策するべきではないでしょうか。
|
|
18
18
|
また、設計次第ですが、IDの存在有無によってパスワード入力画面に遷移できるかの条件分岐があるなら、IDが存在しているかのチェックができてしまう脆弱な設計だと思います。
|
|
19
19
|
Yahooのようなサービスならスパムメールを送信する前に、宛先が存在するかどうかのチェックに利用されてしまうのではないでしょうか?
|
|
20
|
+
証券会社のシステムならメールアドレス登録有無チェックに利用されて、なりすましなどで「あなたは◯◯◯証券会社を利用してますよね。△△△という話があるのですが・・・」というように悪性されてしまうのではないでしょうか。
|
|
20
21
|
メリットがあると感じません。
|
|
21
22
|
|
|
22
23
|
- 開発の手間
|
6
a
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -31,5 +31,5 @@
|
|
|
31
31
|
- 巨大プラットフォームでの採用事例
|
|
32
32
|
過去にYahooはIDパスワードどちらも表示していた時期がありました。
|
|
33
33
|
しかし、今は個別に表示されるように変わっています。
|
|
34
|
-
趣味で好きに変化させる事ができる個人開発とは異なり、有名企業が深く調べずに
|
|
34
|
+
趣味で好きに変化させる事ができる個人開発とは異なり、有名企業が深く調べずに「他社がやってるからマネしてみよう」というような軽い気持ちでログインフォームを変更するとは思えません。
|
|
35
35
|
何らかのメリットが有るから変更したはずです。
|
5
a
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,5 +1,7 @@
|
|
|
1
1
|
# 前提
|
|
2
2
|
以下WebサイトのようにIDとパスワードを同時に表示しないフォームを見かけることがあります。
|
|
3
|
+
気づけば採用事例もいつの時期からか正確には不明ですが、増えてきたように思います。
|
|
4
|
+
なんとなく無視していましたが、よくよく考えると不思議に思えてきました。
|
|
3
5
|
|
|
4
6
|
### Apple
|
|
5
7
|
https://ddjkaamml8q8x.cloudfront.net/questions/2026-06-07/cb490163-cf0f-4b86-9936-998bd976e173.png
|
4
a
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -25,3 +25,9 @@
|
|
|
25
25
|
Google Chrome標準のパスワードマネージャーを利用している場合はID選択後に、パスワードをさらに選択する必要があって2度手間になっています。
|
|
26
26
|
IDとパスワードを同時に表示していれば1度の選択でログインできます。
|
|
27
27
|
メリットがあると感じません。
|
|
28
|
+
|
|
29
|
+
- 巨大プラットフォームでの採用事例
|
|
30
|
+
過去にYahooはIDパスワードどちらも表示していた時期がありました。
|
|
31
|
+
しかし、今は個別に表示されるように変わっています。
|
|
32
|
+
趣味で好きに変化させる事ができる個人開発とは異なり、有名企業が深く調べずに流行りに乗るためだけにログインフォームを変更するとは思えません。
|
|
33
|
+
何らかのメリットが有るから変更したはずです。
|
3
a
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -12,7 +12,7 @@
|
|
|
12
12
|
|
|
13
13
|
# 個人的な感想
|
|
14
14
|
- 総当たり攻撃対策
|
|
15
|
-
フォームで対策するのではなくCAPTCHAや多要素認証を
|
|
15
|
+
フォームで対策するのではなくCAPTCHAや多要素認証やレートリミットを実装して対策するべきではないでしょうか。
|
|
16
16
|
また、設計次第ですが、IDの存在有無によってパスワード入力画面に遷移できるかの条件分岐があるなら、IDが存在しているかのチェックができてしまう脆弱な設計だと思います。
|
|
17
17
|
Yahooのようなサービスならスパムメールを送信する前に、宛先が存在するかどうかのチェックに利用されてしまうのではないでしょうか?
|
|
18
18
|
メリットがあると感じません。
|
2
a
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,6 +1,5 @@
|
|
|
1
|
+
# 前提
|
|
1
2
|
以下WebサイトのようにIDとパスワードを同時に表示しないフォームを見かけることがあります。
|
|
2
|
-
Google Chrome標準のパスワードマネージャーを利用している場合はID選択後に、パスワードをさらに選択する必要があって2度手間になっています。
|
|
3
|
-
IDとパスワードを同時に表示していれば1度の選択でログインできます。
|
|
4
3
|
|
|
5
4
|
### Apple
|
|
6
5
|
https://ddjkaamml8q8x.cloudfront.net/questions/2026-06-07/cb490163-cf0f-4b86-9936-998bd976e173.png
|
|
@@ -21,3 +20,8 @@
|
|
|
21
20
|
- 開発の手間
|
|
22
21
|
フォームを2つに別けることによる開発の手間も増えます。
|
|
23
22
|
メリットがあると感じません。
|
|
23
|
+
|
|
24
|
+
- 利用者の手間
|
|
25
|
+
Google Chrome標準のパスワードマネージャーを利用している場合はID選択後に、パスワードをさらに選択する必要があって2度手間になっています。
|
|
26
|
+
IDとパスワードを同時に表示していれば1度の選択でログインできます。
|
|
27
|
+
メリットがあると感じません。
|
1
a
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -16,6 +16,7 @@
|
|
|
16
16
|
フォームで対策するのではなくCAPTCHAや多要素認証を必須化させて回避するべきではないでしょうか。
|
|
17
17
|
また、設計次第ですが、IDの存在有無によってパスワード入力画面に遷移できるかの条件分岐があるなら、IDが存在しているかのチェックができてしまう脆弱な設計だと思います。
|
|
18
18
|
Yahooのようなサービスならスパムメールを送信する前に、宛先が存在するかどうかのチェックに利用されてしまうのではないでしょうか?
|
|
19
|
+
メリットがあると感じません。
|
|
19
20
|
|
|
20
21
|
- 開発の手間
|
|
21
22
|
フォームを2つに別けることによる開発の手間も増えます。
|