アカウント名:
パスワード:
「暗号化されていないパスワードが保存されています」ので、目視でみれば一発です。
というオチでないことを望む
デフォルトのパスワードでログインできるかどうか試せば一発でしょ。データは手元にあるんだから全部のユーザを試すのに時間も掛からない。なんで目視なんて面倒なことを?
ユーザーがパスワード変更しても、管理者画面では全て把握できるようになってるんじゃねえの?という懸念でしょう。
CHAPとかしらない?
CHAPではパスワードを暗号化できないということを知らないんじゃないの?通信路上を平文で流すかISPに平文で保存させるかの究極の選択。
パスワードがISPの知っている数パターンしかないんだから不可逆ハッシュ掛けてようがストレッチングしてようが一発で破られるだろ。
もちろん、ブルートフォースアタックしたんですよ;-)
select ID from user where createdate = updatedate;
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
むしろ、変更されていないことをどのように知ったかが気になる (スコア:0)
「暗号化されていないパスワードが保存されています」ので、目視でみれば一発です。
というオチでないことを望む
Re: (スコア:0)
デフォルトのパスワードでログインできるかどうか試せば一発でしょ。
データは手元にあるんだから全部のユーザを試すのに時間も掛からない。
なんで目視なんて面倒なことを?
Re: (スコア:0)
ユーザーがパスワード変更しても、
管理者画面では全て把握できるようになってるんじゃねえの?という懸念でしょう。
Re: (スコア:0)
CHAPとかしらない?
Re: (スコア:0)
CHAPではパスワードを暗号化できないということを知らないんじゃないの?
通信路上を平文で流すかISPに平文で保存させるかの究極の選択。
Re: (スコア:0)
パスワードがISPの知っている数パターンしかないんだから不可逆ハッシュ掛けてようがストレッチングしてようが一発で破られるだろ。
Re: (スコア:0)
もちろん、ブルートフォースアタックしたんですよ;-)
Re: (スコア:0)
select ID from user where createdate = updatedate;