ockeghem @ockeghem@mstdn.jp

おはようございます

夕方になりましたが、特に発表することはありません…が、僕は元気です

特に書くこともないけど、何か書きたいときは、パオーと書けばいいですか?

Q: 好きな丼はなんですか?
A: ドゥルパゲ丼(drupageddon)です

先程の引用部分で、「パスワードリスト攻撃」という言葉が出て来ない理由は、まだパスワードリスト攻撃という言葉がなかったからです。ガンホーなど一部のサイトには攻撃自体はあったようですが、まだ拙著を書いた時点では一般的なものではありませんでした

twitterの方で、パスワードのはッシュ保存は必ずしも非強いのでは、という意見を読んだので、拙著P318からパスワード保護が必要な理由を引用しますね。

◎パスワードの保護の必要性
　なんらかの原因により、利用者のパスワードが外部に漏洩した場合、そのパスワードを悪用されて被害にあうことがあります。パスワードが漏洩するという状況では、他の秘密情報も漏洩している可能性が高いわけですが、パスワードの悪用により情報漏洩以外の被害が発生する可能性があります。

・該当利用者の権限で使える機能の悪用（物品購入、送金など）
・該当利用者の権限でのデータの投稿、変更、削除
・利用者がパスワードを使い回している場合、他サイトへの影響の波及

　このため、SQLインジェクションなどによりデータベースの情報が漏洩しても、パスワード
だけは悪用されない形で保護することが行われます。

本日は晴天なり