サービス側がパスワードを平文で保存する10の理由: ある nakagami の日記
(タイトルは釣りです) 「おいおい、おれのパスワードがメールで送られ来たよ」 という事例があとを経たず歴史は繰り返すなー、と思う今日この頃。 何故に平文で保存するのか?を自分なりに想像してみた 間違いとか、追加とかあったら教えて 1. 知らない ハッシュ値で保存しておいて、入力されたパスワードを、そのハッシュ値で 比較すればよいということを知らない。 プロなのに無知。しかし、このパターンが一番多い気がする。 2. 電話サポートが簡単 電話で問い合わせがあった時に、パスワードを再発行してもらうより その場の電話で口頭でパスワードを言ったほうが早く済む。客も喜ぶ(人もいる) 僕は、自分のパスワードを口頭で伝えられたらいやーな気分になりますが 3. めんどくさい 保存とはちょっと違うけど HTTP の Basic 認証とか csv pserver 認証とかって 符号化してるだけで簡単に復号できる
PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)~JSON等の想定外読み出しによる攻撃~ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。 まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(同書P20の図1-23)。 前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成(エンコード)に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。 しかし、問題はこれだけではありません。正常
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
