パスワードはハッシュ化して保存していても簡単に見えちゃう問題と対策用Gemのblinkersについて

freeeのkakkunpakkun(略してkp)といいます。マイクロサービスおじさんです。 freeeではモバイルバーサーカーとかフロントエンド革命家など、独自の名前が多いですが、私は「分割おじさん」「認証おじさん」「rspecおじさん」などと呼ばれたりしてきました。 バーサーカーや革命家と比べてかっこ良くないのがなんだか気になる今日このごろです。 今日はおじさんらしく細かくて面倒な話をして、その対策としてfreeeで使ってるgemを公開したのでその説明をしようと思います。 パスワードはDBでハッシュ化していても簡単に見えてしまう 「パスワードが見えてしまう」というのはすごい不安になる言葉ですが、あまり考えずにサービスを開発していると簡単に起こる事象です。 ではどこでそういうことが起こりやすいのでしょうか。 DBにハッシュ化したパスワードを保存するのはかなり一般的になり、各種ライブラリも

[love0hate]

freeeって会計系のヤツでしょ。銀行の管理画面に強引にログインするのに生パスワードを保存する必要があるから「暗号」は間違ってないんじゃね？あまりに危険なんで自分はこういったものは絶対に使わないが。

[diveintounlimit]

てっきり複合できてしまうのかと思ったけど、そういう話ではなかった。

[vanbraam]

パスワード自体(を暗号化して取っておくの)ではなく不可逆なハッシュを取っておくのではダメなのだろうか?;尤もそうしてもログの問題は残るので,別途解決は必要だが

[tmatsuu]

blinkersのSENSITIVE_KEYSに/^Ecom_/や/^cc-/も入れればいいんじゃないかと思いました。 http://qiita.com/zerobase/items/bd14d6fb7a72676ce69a

[asciialice]

freeeって会計系のヤツでしょ。

[oakbow]

トラブル対応のためにログ出力ってのもありえない。パスワードは再発行の実装すればいいし、クレカはちゃんとサポート契約すれば決済代行業者に調査依頼できるし、管理画面で大抵のことは分かる。マスクすべし。

[digitalglm]

Rails - パスワードは暗号化して保存していても簡単に見えちゃう問題と対策用Gemのblinkersについて - Qiita: freeeのkakkunpakkun(略してkp)といいます。マイクロサービスおじさんです。…

[uunfo]

ログね

[onefootinthegrave]

でもね…logに出したい気持ちもあるんだよな。ログインできないって問い合わせよくあるし、クレカ関連でトラブった時も調査用に。

[kksg]

タイトルは暗号化からハッシュ化に修正されたけど、銀行ログイン用の複合できるパスワード預かりすぎちゃうと感覚麻痺しそう

[neotag]

復号できるものを保存？ / ちゃんと訂正されてた。というか、サービス特性的に保存しないといかん部分もあるのか。

[yo_waka]

おじさん！

[n314]

自分とこのサービスならまだいいけど、FTPでアップする外注デザイナーが居るようなPHP案件でやっちゃうとデザイナーの数だけクレカ一覧が漏れて危険度が極大。

[joe-re]

セキュリティおじさんかっこいい