回答編集履歴
1
追記
answer
CHANGED
|
@@ -5,5 +5,9 @@
|
|
|
5
5
|
|
|
6
6
|
サーバー側では、送られてきたハッシュ値と保存されているハッシュ値の比較だけすれば良いことになります。ただ、サーバー側では平文のパスワードはわかりませんので、パスワードを忘れた時はリセットをできるような仕組みにしておかないといけません。
|
|
7
7
|
|
|
8
|
+
ただこの方法は、クライアント側でのハッシュ計算がどのように行われているかの解析が困難なようにしておかないとだめです。(解析を完全にブロックするのは難しい。ハッシュ計算の部分を暗号化して実行時に元に戻すとか、まあ、昔のコピープロテクトのようなことでもしないと難しいかもしれません)
|
|
9
|
+
|
|
8
|
-
下記URLなどが参考になるかと思います。
|
|
10
|
+
パスワードのハッシュ化については下記URLなどが参考になるかと思います。
|
|
9
|
-
[https://www.websec-room.com/2013/02/27/237](https://www.websec-room.com/2013/02/27/237)
|
|
11
|
+
[https://www.websec-room.com/2013/02/27/237](https://www.websec-room.com/2013/02/27/237)
|
|
12
|
+
|
|
13
|
+
より安全にするには、通信経路はSSLにして、ハッシュ化はサーバー側で行うのが良いと思います。
|