本件はこの指摘が正しいと思う。元々20桁入力できていたというのが勘違い。パスワード管理ツールあるある。
フロントのmaxlengthで勝手に切り詰めるの、昔からある罠だけど未だにデマの燃料になるんだな
不親切と言うより、ごめんなさいすべき所を仕様変更で押し切るのはさすがにゴミでは。/SBIかあ
つまり、認証時に16文字以降を間違って入力しても認証されてたってこと? どんなテスト項目になってたんだろうなあ。
↓ログイン画面で15文字しか入力できないようになってるから、16文字以降は入力されていない。入力したつもりの人がいただけってこと。
現在のパスワード「pass...1」新しいパスワード「pass...2」エラー「現在のパスワードと同じです」
maxlength を指定するとブラウザはそれを超える入力を受け付けずエラーにもせず静かに切り詰める。そうして意図より短く設定されたパスワードが、後の仕様変更で入力した全桁検証されて一致しなくなったという指摘
まあパスワード欄だと入力したけど反映されないパターンは気付きにくいか。maxlength使わずに文字数チェックの実装の方がいいのかもねえ。
ただ、元々15桁に制限してた理由が平文保存のためだとしたら、どうしてそれがまだ使えるの? ハッシュ化に切替えたならパスワードリセットが必要では? ということで、平文保存疑惑が払拭されたわけではなくない?
「パスワードシステムの改定で以前使っていた自動生成の20桁のパスワードが長すぎ、15桁までカットした」という最初のポストが事実と異なるのか。たしかにカットする意味がない点に違和感はあった。完全に納得。
たまによくあるやつ。新仕様移行後にパスワード変更してないユーザーはエラー後に旧仕様互換の動作で認証してから警告画面出すとかして欲しいよね。
パスワード入力のmaxlengthで長いパスワードで登録できたつもりになってた問題2026
本件はこの指摘が正しいと思う。元々20桁入力できていたというのが勘違い。パスワード管理ツールあるある。
フロントのmaxlengthで勝手に切り詰めるの、昔からある罠だけど未だにデマの燃料になるんだな
不親切と言うより、ごめんなさいすべき所を仕様変更で押し切るのはさすがにゴミでは。/SBIかあ
つまり、認証時に16文字以降を間違って入力しても認証されてたってこと? どんなテスト項目になってたんだろうなあ。
↓ログイン画面で15文字しか入力できないようになってるから、16文字以降は入力されていない。入力したつもりの人がいただけってこと。
現在のパスワード「pass...1」新しいパスワード「pass...2」エラー「現在のパスワードと同じです」
maxlength を指定するとブラウザはそれを超える入力を受け付けずエラーにもせず静かに切り詰める。そうして意図より短く設定されたパスワードが、後の仕様変更で入力した全桁検証されて一致しなくなったという指摘
まあパスワード欄だと入力したけど反映されないパターンは気付きにくいか。maxlength使わずに文字数チェックの実装の方がいいのかもねえ。
ただ、元々15桁に制限してた理由が平文保存のためだとしたら、どうしてそれがまだ使えるの? ハッシュ化に切替えたならパスワードリセットが必要では? ということで、平文保存疑惑が払拭されたわけではなくない?
「パスワードシステムの改定で以前使っていた自動生成の20桁のパスワードが長すぎ、15桁までカットした」という最初のポストが事実と異なるのか。たしかにカットする意味がない点に違和感はあった。完全に納得。
たまによくあるやつ。新仕様移行後にパスワード変更してないユーザーはエラー後に旧仕様互換の動作で認証してから警告画面出すとかして欲しいよね。