回答編集履歴
3
指摘があった部分を修正
test
CHANGED
|
@@ -44,13 +44,13 @@
|
|
|
44
44
|
|
|
45
45
|
ユーザーがログインなどする際は、
|
|
46
46
|
|
|
47
|
-
|
|
47
|
+
PHPの照合関数を使用し、照合をかける、という措置です。
|
|
48
48
|
|
|
49
|
-
|
|
49
|
+
これを行うのは、万が一、DBを覗かれた、本件でのJSONファイルを見られた、または、流出してしまった場合でも、
|
|
50
50
|
|
|
51
|
-
|
|
51
|
+
BcryptやArgon2系の脆弱性がない、また平文が盗聴されていない限り、またログイン処理や認証に脆弱性がない場合、総当たり攻撃以外に偽ログインする方法はないからです。
|
|
52
52
|
|
|
53
|
-
|
|
53
|
+
(もしかしたら、攻撃方法はあるかもしれないが、多くの場合は大丈夫になる)
|
|
54
54
|
|
|
55
55
|
ここら辺のセキュリティ措置に関しては、よくよく勉強されるとよいかと。
|
|
56
56
|
|
|
@@ -85,3 +85,11 @@
|
|
|
85
85
|
|
|
86
86
|
|
|
87
87
|
以上になります。
|
|
88
|
+
|
|
89
|
+
|
|
90
|
+
|
|
91
|
+
@kyoya0819さん
|
|
92
|
+
|
|
93
|
+
たびたびありがとうございます。
|
|
94
|
+
|
|
95
|
+
また内容不備ありましたら、ご指摘いただければ幸いです。
|
2
暗号化ではなく、ハッシュ&ソルト化であることを修正
test
CHANGED
|
@@ -40,17 +40,17 @@
|
|
|
40
40
|
|
|
41
41
|
さて、これは、DBで管理する上でも同じ措置をしますが、
|
|
42
42
|
|
|
43
|
-
**パスワードは、記録する時は
|
|
43
|
+
**パスワードは、記録する時はハッシュ&ソルト化をした方を記録する**ことが必須となります。
|
|
44
44
|
|
|
45
45
|
ユーザーがログインなどする際は、
|
|
46
46
|
|
|
47
|
-
ユーザーの入力を、
|
|
47
|
+
ユーザーの入力を、ハッシュ&ソルト化をした上で、記録と照合する、
|
|
48
48
|
|
|
49
49
|
という措置です。
|
|
50
50
|
|
|
51
51
|
これは、万が一、DBを覗かれた、本件でのJSONファイルを見られた、または、流出してしまった場合でも、
|
|
52
52
|
|
|
53
|
-
|
|
53
|
+
ハッシュ&ソルト化の方式がわからなければ、偽ログインをされることはありません。
|
|
54
54
|
|
|
55
55
|
ここら辺のセキュリティ措置に関しては、よくよく勉強されるとよいかと。
|
|
56
56
|
|
1
参考記事リンクを記載
test
CHANGED
|
@@ -74,4 +74,14 @@
|
|
|
74
74
|
|
|
75
75
|
|
|
76
76
|
|
|
77
|
+
また、下記記事が大変参考になるかと思いますので、
|
|
78
|
+
|
|
79
|
+
ご一読されるとよいかと。
|
|
80
|
+
|
|
81
|
+
|
|
82
|
+
|
|
83
|
+
[安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構](https://www.ipa.go.jp/security/vuln/websecurity.html)
|
|
84
|
+
|
|
85
|
+
|
|
86
|
+
|
|
77
87
|
以上になります。
|