回答編集履歴
2
補足
test
CHANGED
|
@@ -30,6 +30,10 @@
|
|
|
30
30
|
|
|
31
31
|
|
|
32
32
|
|
|
33
|
+
|
|
34
|
+
|
|
35
|
+
|
|
36
|
+
|
|
33
37
|
**今回のケースを「サービス毎にパスワードを変更する」という答えで締めくくるのは、いささか正確な理解ではないように思います。**
|
|
34
38
|
|
|
35
39
|
|
|
@@ -45,6 +49,12 @@
|
|
|
45
49
|
こと「ログイン」という処理のみに限って言えば、見せない方法があるとすれば、「facebookでログインする」などのソーシャルログインですね。
|
|
46
50
|
|
|
47
51
|
もちろんこの場合でも、最初にfacebook側には通常通りログインする必要がありますが、新しく利用するサービス側にログイン情報を与える必要はなくなります。
|
|
52
|
+
|
|
53
|
+
|
|
54
|
+
|
|
55
|
+
ちなみにサービス管理者が悪だという話で、パスワード問題を議論すると、パスワードどころの話ではないですよ。サービス管理者が悪なら、例えばFacebookなら自由になりすまし投稿できますし、amazonなら自由になりすましてお買い物が可能でしょう。
|
|
56
|
+
|
|
57
|
+
つまり、サービス側を悪だと仮定すると、なんでも出来ちゃいます。
|
|
48
58
|
|
|
49
59
|
|
|
50
60
|
|
1
整頓
test
CHANGED
|
@@ -4,9 +4,9 @@
|
|
|
4
4
|
|
|
5
5
|
一応回答を・・・
|
|
6
6
|
|
|
7
|
-
===================================
|
|
8
7
|
|
|
8
|
+
|
|
9
|
-
|
|
9
|
+
> 多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪用されることはないのか
|
|
10
10
|
|
|
11
11
|
|
|
12
12
|
|
|
@@ -16,7 +16,7 @@
|
|
|
16
16
|
|
|
17
17
|
|
|
18
18
|
|
|
19
|
-
|
|
19
|
+
> パスワードをブラウザ側でハッシュ化してから送るような仕組みにすればこの心配は無くなると思うのですが、そのようなことは行われていません。これはどのような理由によるものなのでしょうか。
|
|
20
20
|
|
|
21
21
|
|
|
22
22
|
|
|
@@ -26,17 +26,19 @@
|
|
|
26
26
|
|
|
27
27
|
(追記1のリンク先での回答と同義)
|
|
28
28
|
|
|
29
|
-
===================================
|
|
30
29
|
|
|
31
30
|
|
|
32
31
|
|
|
32
|
+
|
|
33
|
-
今回のケースを「サービス毎にパスワードを変更する」という答えで締めくくるのは、いささか正確な理解ではないように思います。
|
|
33
|
+
**今回のケースを「サービス毎にパスワードを変更する」という答えで締めくくるのは、いささか正確な理解ではないように思います。**
|
|
34
34
|
|
|
35
35
|
|
|
36
36
|
|
|
37
|
-
|
|
37
|
+
サービスに対して、ユーザーが自ら送信する情報について
|
|
38
38
|
|
|
39
|
+
==============================================
|
|
40
|
+
|
|
39
|
-
|
|
41
|
+
これは、サービスの人に見せる情報だと思うべきだと思います。もちろんSSLなどを使って、第三者に対して情報が漏洩しないようにはしますが、
|
|
40
42
|
|
|
41
43
|
基本的に、入力するということは、情報を見せるという行為です。
|
|
42
44
|
|
|
@@ -46,12 +48,24 @@
|
|
|
46
48
|
|
|
47
49
|
|
|
48
50
|
|
|
49
|
-
|
|
51
|
+
サービス管理者(開発者)が、パスワードをハッシュ化して保存しているか否かについて
|
|
50
52
|
|
|
53
|
+
==============================================
|
|
54
|
+
|
|
51
|
-
|
|
55
|
+
これは、当初の議論とは、ずれた話ですが。
|
|
52
56
|
|
|
53
57
|
基本的にエンジニアとして、パスワード情報は(ログなどに)出力せず、保管はハッシュ化するのは、至極当たり前の新卒並みの知識ですが、
|
|
54
58
|
|
|
55
59
|
どの世界にもレベルが低い方がいるように、ITの世界にもいます。
|
|
56
60
|
|
|
57
61
|
このレベルの話になると、「信用できないようなサービスは利用しない」が正しいかと思います。
|
|
62
|
+
|
|
63
|
+
|
|
64
|
+
|
|
65
|
+
サービス毎にパスワードを変更する
|
|
66
|
+
|
|
67
|
+
==============================================
|
|
68
|
+
|
|
69
|
+
サービス毎にパスワードを変更するのは、素晴らしいことですが、
|
|
70
|
+
|
|
71
|
+
全部のパスワードを違うようにすれば漏れても大丈夫だという議論は、ちょっと乱暴な答えな気がします。
|