その他 > その他 > パスワードリマインダについて |
その他
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
gallu |
投稿日時: 2007/9/13 15:03
対応状況: −−−
|
半人前 登録日: 2007/9/13 居住地: 東京 投稿: 28 |
パスワードリマインダについて がると申します。初めて書き込みをさせていただいております。
それで、なのですが。 ちとこちらのプログラムの使用を検討していていろいろと見ていたのですが…パスワードリマインダのところで疑問が。 現状、登録されていないアドレスを入力すると「ご入力のemailアドレスは登録されていません」と出てくるロジックになっているかと思うのですが(eccube-1.3.4.tar.gz のソースでも確認をしております)。 この流れですと、ブルートフォースアタックで「既存ユーザのメールアドレスを一通り抜くことができる」と考えられます。 このあたりをセキュリティリスクととるかどうか、というのも微妙ではあると思うのですが。 ちょっと気になったので書き込みをしてみました。 とりあえず…開発陣の皆様の見解とかが伺えるとうれしいです。 |
nanasess |
投稿日時: 2007/9/21 10:37
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2303 |
Re: パスワードリマインダについて 大河内です.
引用:
上記のような仕様となっているのは, ユーザーの利便性を考慮してのことなので, セキュリティリスクと感じられるのでしたら, 改修して頂ければ良いかと思います. # ブルートフォースアタックを想定するのであれば, # 単純なパスワードの禁止など, もうちょっと重要な課題もありますね... |
gallu |
投稿日時: 2008/8/5 15:01
対応状況: −−−
|
半人前 登録日: 2007/9/13 居住地: 東京 投稿: 28 |
Re: パスワードリマインダについて だいぶんに古い話で恐縮ではあるのですが。
> 上記のような仕様となっているのは, ユーザーの利便性を考慮してのことなので, セキュリティリスクと感じられるのでしたら, 改修して頂ければ良いかと思います. 改修に関しては「OSSですしお好みに合わせて」だと思うのですが。この仕様のリスクの部分を、必ずしも「使っている全員」が理解しているのかどうか、という点に対して、私は大きく懐疑的です。 ついでにいうと、最近の風潮は「デフォルトはセキュア」だと思いますし。 ちとこのあたり ・どのあたりがまずいのか ・実際にどのようなクラックが予想されるのか ・とりあえず当面の場当たり的対応方法 を簡単にですがBlogにまとめてみました。 興味がある方がいらっしゃれば、ご一読いただければと思います。 http://d.hatena.ne.jp/gallu/20080802/p1 |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |