とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス
2022/03/14 10:51
ockeghem
日記書いた。末尾にセミナーの宣伝があります
2022/03/14 11:19
kenzy_n
セキュリティの穴と感じさせたり、実際に穴だったり。
2022/03/14 11:26
zentarou
ほんそれ “コピペができないとなると長すぎるので、パスワードを短くしました。セキュリティ上は逆効果”
2022/03/14 11:37
greenbow
なるほど。 “そう判断した理由は、メールアドレスとパスワードの長さを変えるとクッキーの長さも変わるからです。”
2022/03/14 12:24
gmym
楽天のパスワード変更画面でパスワードコピペ出来なくてイラッとしたな。ドラックアンドドロップは出来たから(コピペ禁止しといてそれは出来ていいのかよ)、それで無理やり突っ込んだ。
2022/03/14 13:34
swdrsker
セキュリティ
2022/03/14 14:26
JULY
期限付き Cookie を使ってセッションを維持しているのを、ブラウザがユーザ名とパスワードを送信していると思っている人を見かける。そんな人が実装したり、実装を要求したのかなぁ。
2022/03/14 15:31
tzmfreedom
“トークン”
2022/03/14 15:41
spark7
XSSできるならautocompleteのパスワードなんかも読めそうだけど最近のブラウザはできないのかしら
2022/03/14 16:05
HMT_EG
パスワード貼り付けできないクソサイトはデベロッパーツールでフォームのvalueに直接値をぶち込んでやり過ごしてる。
2022/03/14 20:51
kno
“平文でメールアドレスとパスワードがHTML上に表示される”うわあ
2022/03/14 22:07
mayumayu_nimolove
まだパスワードで消耗ねえ
2022/03/14 22:31
uva
XSSやられてるならChromeや1Passwordにパスワード保存しててもそのサイトのパスワードは盗られるんでは
2022/03/14 22:41
mon_sat
ペースト禁止のパスワード入力欄でも、Macなら⌥ + ドラッグで張り付く。URL欄とかに一旦ペーストし、その後⌥+ドラッグする(何が何でもペーストしたいひと向け)
2022/03/14 22:45
dreamzico
復号化可能な方法でパスワードをCookie保存とかチャレンジャー過ぎて草。たぶん設計や実装した本人は何も問題だと思ってないどころか、「これでセキュリティ万全だ!」くらい思ってそう。
2022/03/14 23:21
kotas
わざわざパスワードを暗号化してクッキーに焼いてくれるの余計なお世話感がすごい…
2022/03/15 00:03
pyagatupa
楽天の悪口はそこまでだ。
2022/03/15 00:37
amino_acid9
なかなか豪快な仕様やね「クッキーXにメールアドレスとパスワードが暗号化して保存されているよう」
2022/03/15 05:48
rti7743
cookieヘッダにセッションIDじゃなくてデータ入れてる変な実装ってあるよね
2022/03/15 06:35
yasu-osu
日常に潜む学びの数々。
2022/03/15 07:23
pmint
"脆弱性がサイトにあると生のパスワードが漏洩する実装となっています"…冒頭からいつものインチキ構文で笑った。従来はこれを文中の核心部分でやってた。内容は以前より劣化、特に後方3分の1は蛇足で要りなません。
2022/03/15 09:22
weboo
「パスワードを保存する」をそのまま実装しちゃったのか。
2022/03/15 16:01
rryu
クッキーを暗号化してもそれを復号する機能が普通に使えたら暗号化している意味がないという事例。
2022/03/15 23:51
dollarss
"私は乱数で長く複雑なパスワードを入力しかけていたのですが、コピペができないとなると長すぎるので、パスワードを短くしました。セキュリティ上は逆効果"
2022/03/16 09:19
strawberryhunter
「メールアドレス・パスワードを保存する」はWebブラウザに任せればいい。