テクノロジー

パスワード入力のmaxlengthで長いパスワードで登録できたつもりになってた問題2026

1: umaemong 2026/07/03 23:33

本件はこの指摘が正しいと思う。元々20桁入力できていたというのが勘違い。パスワード管理ツールあるある。

2: nguyen-oi 2026/07/03 23:34

フロントのmaxlengthで勝手に切り詰めるの、昔からある罠だけど未だにデマの燃料になるんだな

3: Windfola 2026/07/03 23:46

不親切と言うより、ごめんなさいすべき所を仕様変更で押し切るのはさすがにゴミでは。/SBIかあ

4: hobbiel55 2026/07/04 00:20

つまり、認証時に16文字以降を間違って入力しても認証されてたってこと? どんなテスト項目になってたんだろうなあ。

5: lainof 2026/07/04 00:36

↓ログイン画面で15文字しか入力できないようになってるから、16文字以降は入力されていない。入力したつもりの人がいただけってこと。

6: sumomo-kun 2026/07/04 00:42

現在のパスワード「pass...1」新しいパスワード「pass...2」エラー「現在のパスワードと同じです」

7: yosida95 2026/07/04 00:45

maxlength を指定するとブラウザはそれを超える入力を受け付けずエラーにもせず静かに切り詰める。そうして意図より短く設定されたパスワードが、後の仕様変更で入力した全桁検証されて一致しなくなったという指摘

8: n2sz 2026/07/04 00:59

まあパスワード欄だと入力したけど反映されないパターンは気付きにくいか。maxlength使わずに文字数チェックの実装の方がいいのかもねえ。

9: ustam 2026/07/04 01:50

ただ、元々15桁に制限してた理由が平文保存のためだとしたら、どうしてそれがまだ使えるの? ハッシュ化に切替えたならパスワードリセットが必要では? ということで、平文保存疑惑が払拭されたわけではなくない?

10: gewaa 2026/07/04 02:03

「パスワードシステムの改定で以前使っていた自動生成の20桁のパスワードが長すぎ、15桁までカットした」という最初のポストが事実と異なるのか。たしかにカットする意味がない点に違和感はあった。完全に納得。

11: rna 2026/07/04 02:15

たまによくあるやつ。新仕様移行後にパスワード変更してないユーザーはエラー後に旧仕様互換の動作で認証してから警告画面出すとかして欲しいよね。