本件はこの指摘が正しいと思う。元々20桁入力できていたというのが勘違い。パスワード管理ツールあるある。
フロントのmaxlengthで勝手に切り詰めるの、昔からある罠だけど未だにデマの燃料になるんだな
不親切と言うより、ごめんなさいすべき所を仕様変更で押し切るのはさすがにゴミでは。/SBIかあ
つまり、認証時に16文字以降を間違って入力しても認証されてたってこと? どんなテスト項目になってたんだろうなあ。
↓ログイン画面で15文字しか入力できないようになってるから、16文字以降は入力されていない。入力したつもりの人がいただけってこと。
現在のパスワード「pass...1」新しいパスワード「pass...2」エラー「現在のパスワードと同じです」
maxlength を指定するとブラウザはそれを超える入力を受け付けずエラーにもせず静かに切り詰める。そうして意図より短く設定されたパスワードが、後の仕様変更で入力した全桁検証されて一致しなくなったという指摘
まあパスワード欄だと入力したけど反映されないパターンは気付きにくいか。maxlength使わずに文字数チェックの実装の方がいいのかもねえ。
ただ、元々15桁に制限してた理由が平文保存のためだとしたら、どうしてそれがまだ使えるの? ハッシュ化に切替えたならパスワードリセットが必要では? ということで、平文保存疑惑が払拭されたわけではなくない?
「パスワードシステムの改定で以前使っていた自動生成の20桁のパスワードが長すぎ、15桁までカットした」という最初のポストが事実と異なるのか。たしかにカットする意味がない点に違和感はあった。完全に納得。
たまによくあるやつ。新仕様移行後にパスワード変更してないユーザーはエラー後に旧仕様互換の動作で認証してから警告画面出すとかして欲しいよね。
最初のポストの推測が稚拙というのはその通りだけど、そもそもハッシュ化は推奨であって要件によっては平文でも良いと思っているので全体としてモヤっとする
なるほど。ペーストしたとき切り詰められるけど、ドットの数が15文字分しかないことには気づきにくいか。 / 旧版フォームに「12345678901234567890」 をコピペしてみたけどぱっと見わからないかも。
最初よくわからなかったけど、「⚫︎⚫︎⚫︎⚫︎」が15個とかになると数えられないから入力したつもりになってしまうということか
アカウント登録フォームではmaxlengthで切るけど、照合フォームでは切らないシステムが有って登録出来なかった事が有る。(呆れて登録するのはやめた)
いにしえのUNIX V7からの伝統で、md5cryptが導入されるまではlinuxもbsdもパスワードは8桁まで有効でそれ以降は何を入れても影響なしだったね
これを解説する際に肝になるであろう、パスワード入力時は表示が「⚫︎」になるという前提が書かれてないので最初読んでもわからなかった
そう。私もこれだと思った。もともと15文字までしか入力できなかったのが、変更で15文字以上入力できるようになった
2037年7月アップデート:パスワードマネージャ側がこの問題を検出できるようになりました
なるほどー。ユーザ側で15文字以上登録したつもりになってただけで実装には問題ないってことか
弊社が手掛けたシステムを確認したら、maxlength="200"みたいな制限はしてたな。最新のは無制限だった。
長くウェブやってるほど気付かない盲点だな(´-`)
password maxlengthで入力が64文字に切詰められ、登録表示と送信内容が不一致になる問題をファクトチェックする。平文保存は根拠なし。
そうだとしても、「常識的に考えて」←「20桁が長すぎるから15桁に縮めて」じゃないってことだし、それ自体が非常識なのでは。
パスワード設定時は文字数をしても勝手に切り詰めて登録されるのに、次回ログインの時は切り詰められないから結果としてパスワード間違いの判定をされサイトはたまにあるね。何度かやられた事がある。
これはmaxlengthの仕様が悪いよ。せめてペーストした時に文字数が超過した時はバリデーションエラーのUI出せよ。それかペースト自体を失敗させるか。サイレントで切るのが一番良くない。
パスワード入力のmaxlengthで長いパスワードで登録できたつもりになってた問題2026
本件はこの指摘が正しいと思う。元々20桁入力できていたというのが勘違い。パスワード管理ツールあるある。
フロントのmaxlengthで勝手に切り詰めるの、昔からある罠だけど未だにデマの燃料になるんだな
不親切と言うより、ごめんなさいすべき所を仕様変更で押し切るのはさすがにゴミでは。/SBIかあ
つまり、認証時に16文字以降を間違って入力しても認証されてたってこと? どんなテスト項目になってたんだろうなあ。
↓ログイン画面で15文字しか入力できないようになってるから、16文字以降は入力されていない。入力したつもりの人がいただけってこと。
現在のパスワード「pass...1」新しいパスワード「pass...2」エラー「現在のパスワードと同じです」
maxlength を指定するとブラウザはそれを超える入力を受け付けずエラーにもせず静かに切り詰める。そうして意図より短く設定されたパスワードが、後の仕様変更で入力した全桁検証されて一致しなくなったという指摘
まあパスワード欄だと入力したけど反映されないパターンは気付きにくいか。maxlength使わずに文字数チェックの実装の方がいいのかもねえ。
ただ、元々15桁に制限してた理由が平文保存のためだとしたら、どうしてそれがまだ使えるの? ハッシュ化に切替えたならパスワードリセットが必要では? ということで、平文保存疑惑が払拭されたわけではなくない?
「パスワードシステムの改定で以前使っていた自動生成の20桁のパスワードが長すぎ、15桁までカットした」という最初のポストが事実と異なるのか。たしかにカットする意味がない点に違和感はあった。完全に納得。
たまによくあるやつ。新仕様移行後にパスワード変更してないユーザーはエラー後に旧仕様互換の動作で認証してから警告画面出すとかして欲しいよね。
最初のポストの推測が稚拙というのはその通りだけど、そもそもハッシュ化は推奨であって要件によっては平文でも良いと思っているので全体としてモヤっとする
なるほど。ペーストしたとき切り詰められるけど、ドットの数が15文字分しかないことには気づきにくいか。 / 旧版フォームに「12345678901234567890」 をコピペしてみたけどぱっと見わからないかも。
最初よくわからなかったけど、「⚫︎⚫︎⚫︎⚫︎」が15個とかになると数えられないから入力したつもりになってしまうということか
アカウント登録フォームではmaxlengthで切るけど、照合フォームでは切らないシステムが有って登録出来なかった事が有る。(呆れて登録するのはやめた)
いにしえのUNIX V7からの伝統で、md5cryptが導入されるまではlinuxもbsdもパスワードは8桁まで有効でそれ以降は何を入れても影響なしだったね
これを解説する際に肝になるであろう、パスワード入力時は表示が「⚫︎」になるという前提が書かれてないので最初読んでもわからなかった
そう。私もこれだと思った。もともと15文字までしか入力できなかったのが、変更で15文字以上入力できるようになった
2037年7月アップデート:パスワードマネージャ側がこの問題を検出できるようになりました
なるほどー。ユーザ側で15文字以上登録したつもりになってただけで実装には問題ないってことか
弊社が手掛けたシステムを確認したら、maxlength="200"みたいな制限はしてたな。最新のは無制限だった。
長くウェブやってるほど気付かない盲点だな(´-`)
password maxlengthで入力が64文字に切詰められ、登録表示と送信内容が不一致になる問題をファクトチェックする。平文保存は根拠なし。
そうだとしても、「常識的に考えて」←「20桁が長すぎるから15桁に縮めて」じゃないってことだし、それ自体が非常識なのでは。
パスワード設定時は文字数をしても勝手に切り詰めて登録されるのに、次回ログインの時は切り詰められないから結果としてパスワード間違いの判定をされサイトはたまにあるね。何度かやられた事がある。
これはmaxlengthの仕様が悪いよ。せめてペーストした時に文字数が超過した時はバリデーションエラーのUI出せよ。それかペースト自体を失敗させるか。サイレントで切るのが一番良くない。