パスワードマスクの切り替え機能について考える徳丸浩さんのブログ記事 COOKPADの「伏せ字にせず入力」ボタンは素晴らしい(blog.tokumaru.org) について。 通常、パスワードの入力欄はコントロール形式(type属性)が password で実装されており、ほとんどのブラウザは入力した値を ● や * などの文字に置換してレンダリングします。これはショルダーハッキング(覗き見)を防ぐためと言われていますが、一方で ひらがなや漢字が入力できず(別の場所からコピペすれば一応入力できますが)、使える文字種が制限される 入力している内容が分からず入力ミスしやすい といった理由から、長い文字列や特殊な記号を織り交ぜるなど安全なパスワードを設定しにくいという問題があり、必ずしもマスクすることが最善というわけでもなさそうです。 徳丸さんも著書体系的に学ぶ 安全なWebアプリケーションの作り方の中で利用者は簡単な(危険な)パスワードを
