teratail header banner
teratail header banner
質問するログイン新規登録

回答編集履歴

1

追記

2016/09/26 08:51

投稿

PineMatsu
PineMatsu

スコア3581

answer CHANGED
@@ -5,5 +5,9 @@
5
5
 
6
6
  サーバー側では、送られてきたハッシュ値と保存されているハッシュ値の比較だけすれば良いことになります。ただ、サーバー側では平文のパスワードはわかりませんので、パスワードを忘れた時はリセットをできるような仕組みにしておかないといけません。
7
7
 
8
+ ただこの方法は、クライアント側でのハッシュ計算がどのように行われているかの解析が困難なようにしておかないとだめです。(解析を完全にブロックするのは難しい。ハッシュ計算の部分を暗号化して実行時に元に戻すとか、まあ、昔のコピープロテクトのようなことでもしないと難しいかもしれません)
9
+
8
- 下記URLなどが参考になるかと思います。
10
+ パスワードのハッシュ化については下記URLなどが参考になるかと思います。
9
- [https://www.websec-room.com/2013/02/27/237](https://www.websec-room.com/2013/02/27/237)
11
+ [https://www.websec-room.com/2013/02/27/237](https://www.websec-room.com/2013/02/27/237)
12
+
13
+ より安全にするには、通信経路はSSLにして、ハッシュ化はサーバー側で行うのが良いと思います。