はてなはパスワードを生データで管理してる? - こせきの日記
WSSE認証は「安全」かつ「手軽に導入できる」認証として、当初Atom APIで採用されていました。Perl CGIしか動かせないようなホスティングサービスでも使えることが大切で、HTTPSが必須とかでは目的に合わないと考えられていたようです。 以下の記事では、冒頭で4つの選択肢が検討されています。 http://www.xml.com/pub/a/2003/12/17/dive.html HTTP Basic認証を使う。Basic認証は、簡単に元のパスワードにデコードできてしまう。平文を直接送るのと変わらないので却下。 パスワードをMD5ハッシュしてハッシュだけを送信。盗聴者が平文のパスワードを入手することは不可能。しかし、リプレイ攻撃に耐えられない。Bobのハッシュが通信中に盗まれるとBobに成りすますことができてしまう。 SSLでHTTP Basic認証を使う。これならパスワード盗聴
yohei-y:weblog: Java からはてなフォトライフAtomAPIを使う
はてなの技術が今後目指す方向を読んだ。こういう方向性を明確に打ち出せるのがうらやましい。それに比べて自分のやっていることはなんとつまらなくて淋しいことか、と溜息が出てしまうのだった。 こちらの日記のコメントにも書いたけど、REST だの SOA だと騒いでるのは、ごくごく一部の(ちょっとだけ影響力のある)人たちだけで、ニュートラルな立場の人々はそんなことは関係なく次々とウェブサービスで面白いハックを送り出しているのだ。そして現在は、ニュートラルな側(google, amazon, hatena, etc...)が影響力を持つ時代になっている。かつてハードウェアベンダからマイクロソフトに影響力が移ったのと同じように。 僕はもうすぐ30になるけれど(ああ、ついに20代ともお別れか)次の10年を考えなければいけなさそうだ。僕はアーキテクチャの流儀(architectural style)としての
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
