[過去ログ] スレ立てるまでもない質問はここで 152匹目 (1002レス)
上下前次1-新
抽出解除 レス栞
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
リロード規制です。10分ほどで解除するので、他のブラウザへ避難してください。
253(7): 2020/01/03(金)02:30 ID:39lKmn0+(1) AAS
ログインフォームを作っているんですが、以下のどちらがいいのでしょうか?
?アプリからIDとPW両方をDBに投げて、IDとPW両方が一致するレコードがあれば、
そのIDでログインする。
?アプリからIDのみをDBに投げて、そのIDのレコードが持っているPWをアプリが取得して、
アプリ側で入力されたPWと比較し、一致すればログインする。
254(2): 2020/01/03(金)07:31 ID:OYN2nrzg(1) AAS
>>253
有名なセキュリティの本を買って勉強して下さい
基本ができてないからそういう質問が出てくるんですよ
257: 2020/01/03(金)11:45 ID:ZgWtqjsT(1/2) AAS
>>253
どちらでもいいとは思うけど認証だけなら簡単なのは(1)の方だね
ユーザー情報(例えば権限とか名前とか)を取得する必要あるなら(2)でパスワードもろとも取得しておくという方法もある
悩んでいる暇あるならその間に(1)で実装して次に進んだほうがいいかと
275: 2020/01/03(金)17:18 ID:cSDCrnP1(1/2) AAS
>>253
?も?もダメ
?に比べれば?の脆弱なところを修正した方式のほうがベター
理由は>>254の書いてるように徳丸本でも読むこと
279(1): 2020/01/04(土)01:45 ID:X7t3Qsuc(1) AAS
>>253
2 は、絶対にダメ!
他人のID を送信したら、他人のPWを受信するわけだから、
スマホをデバッグして解析されたら、他人のPWが分かってしまう
窃盗団なら、簡単に解析できる!
>>255
ローカルのものは、解析されないように、ドングルに入っているのでは?
286(2): 2020/01/05(日)01:32 ID:qDQaoTCH(1/4) AAS
>>285
>クライアントに返さないのはもちろんのことセッションに保存したりもしないぞ
>>253の要件だと「PWをアプリが取得する」って工程があるからそうは見えないけどな
288(1): 2020/01/05(日)01:54 ID:nmr12VZa(1) AAS
>>286
>>253は要件じゃなくて実装案じゃん
聞かれたら答えちゃうという作りを好んで採用する理由がない
サーバー間通信をキャプチャできたら任意IDのPWが教えてもらえることになる
291(1): 2020/01/05(日)07:14 ID:qDQaoTCH(3/4) AAS
>>253の?見て思うのは
1. クライアントからIDの入力がある
2. DBに問い合わせてIDからPWを取得
3. 取得したPWをどこかに保持しておく
4. クライアントからパスワードの入力がある
5. 3で保持した結果と突き合わせる
こう見えるんだよ
もし3の工程がないと5で突き合わせが不可能になるわけで
まあどういう意図で>>253がそう言ったのか知らんけど
セキュアに出来るならいいんじゃない?
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 0.037s