回答編集履歴
3
指摘があった部分を修正
answer
CHANGED
|
@@ -21,10 +21,10 @@
|
|
|
21
21
|
さて、これは、DBで管理する上でも同じ措置をしますが、
|
|
22
22
|
**パスワードは、記録する時はハッシュ&ソルト化をした方を記録する**ことが必須となります。
|
|
23
23
|
ユーザーがログインなどする際は、
|
|
24
|
-
|
|
24
|
+
PHPの照合関数を使用し、照合をかける、という措置です。
|
|
25
|
-
という措置です。
|
|
26
|
-
これは、万が一、DBを覗かれた、本件でのJSONファイルを見られた、または、流出してしまった場合でも、
|
|
25
|
+
これを行うのは、万が一、DBを覗かれた、本件でのJSONファイルを見られた、または、流出してしまった場合でも、
|
|
26
|
+
BcryptやArgon2系の脆弱性がない、また平文が盗聴されていない限り、またログイン処理や認証に脆弱性がない場合、総当たり攻撃以外に偽ログインする方法はないからです。
|
|
27
|
-
|
|
27
|
+
(もしかしたら、攻撃方法はあるかもしれないが、多くの場合は大丈夫になる)
|
|
28
28
|
ここら辺のセキュリティ措置に関しては、よくよく勉強されるとよいかと。
|
|
29
29
|
|
|
30
30
|
# JSONファイルの方が扱いがめんどくさい
|
|
@@ -41,4 +41,8 @@
|
|
|
41
41
|
|
|
42
42
|
[安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構](https://www.ipa.go.jp/security/vuln/websecurity.html)
|
|
43
43
|
|
|
44
|
-
以上になります。
|
|
44
|
+
以上になります。
|
|
45
|
+
|
|
46
|
+
@kyoya0819さん
|
|
47
|
+
たびたびありがとうございます。
|
|
48
|
+
また内容不備ありましたら、ご指摘いただければ幸いです。
|
2
暗号化ではなく、ハッシュ&ソルト化であることを修正
answer
CHANGED
|
@@ -19,12 +19,12 @@
|
|
|
19
19
|
|
|
20
20
|
# パスワードの記載に関して
|
|
21
21
|
さて、これは、DBで管理する上でも同じ措置をしますが、
|
|
22
|
-
**パスワードは、記録する時は
|
|
22
|
+
**パスワードは、記録する時はハッシュ&ソルト化をした方を記録する**ことが必須となります。
|
|
23
23
|
ユーザーがログインなどする際は、
|
|
24
|
-
ユーザーの入力を、
|
|
24
|
+
ユーザーの入力を、ハッシュ&ソルト化をした上で、記録と照合する、
|
|
25
25
|
という措置です。
|
|
26
26
|
これは、万が一、DBを覗かれた、本件でのJSONファイルを見られた、または、流出してしまった場合でも、
|
|
27
|
-
|
|
27
|
+
ハッシュ&ソルト化の方式がわからなければ、偽ログインをされることはありません。
|
|
28
28
|
ここら辺のセキュリティ措置に関しては、よくよく勉強されるとよいかと。
|
|
29
29
|
|
|
30
30
|
# JSONファイルの方が扱いがめんどくさい
|
1
参考記事リンクを記載
answer
CHANGED
|
@@ -36,4 +36,9 @@
|
|
|
36
36
|
なので、もし、**DBだとハードル高そう・・・**と思ってJSONでやっているなら、
|
|
37
37
|
DBの勉強をされた方が、遥かにハードル低いです。
|
|
38
38
|
|
|
39
|
+
また、下記記事が大変参考になるかと思いますので、
|
|
40
|
+
ご一読されるとよいかと。
|
|
41
|
+
|
|
42
|
+
[安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構](https://www.ipa.go.jp/security/vuln/websecurity.html)
|
|
43
|
+
|
|
39
44
|
以上になります。
|