地デジのロケフリシステムを作るスレ15

[過去ﾛｸﾞ] 地デジのロケフリシステムを作るスレ15 (1002ﾚｽ)
上下前次1-新
抽出解除ﾚｽ栞

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

640(2): (ﾜｯﾁｮｲ 829f-jWoh) 2023/11/21(火) 14:51:34.89 ID:oFDxqruk0(1/2)調 AAS
>>638
上のスクリプト読めない人？
BASE64でランダム生成したパスワードでしょ
安全にきまってんじゃん

644: (ﾜｯﾁｮｲ fe7c-jMfl) 2023/11/21(火) 19:47:59.59 ID:T4R9caKR0(3/8)調 AAS
>>640
上のスクリプトを使う前提、って>>635で言ってないんだけど、何故それがスレ全員の前提だと思ってるんだ？

なんかやたらスクリプトに自信があるようなので指摘するけど。
・パスワード生成、BASE64で16バイト分なんてやってるから、パディングの==が必ず入ってBASE4とモロバレになって強度を自分で下げてる。BASE64の4/3倍とパディングの原則考えて指定しないと。
・セキュリティ対策しながらパスワード通知したいなら、今時、メッセージングツールへのIncoming Webhook使うのが基本でしょ。ITに詳しくない個人宛でもLINEで通知出来るのに、メールて。

/dev/urandom使って大文字小文字記号交じりの24桁生成して固定設定で十分なところを、余計な手間増やしてよりセキュアじゃない方向に持っていってるよ、それ。
確かにそのシステムではそう簡単には破られんけどさ、パスワードはそもそも通知しない、ってのが最も安全なんだから、それで十分な話。

647(1): (ｵｯﾍﾟｹ Sr51-K/BJ) 2023/11/21(火) 21:17:39.44 ID:Sy8Q9cYCr(1/2)調 AAS
>>640
こんなに安全じゃない要素があるスクリプトを掲載して面の皮が厚いねえ

・秘匿性が必要なパスワードを途中でechoで生出力する理由は？cronのログファイルにパスワードが残る可能性があるよね
・opensslが生成したパスワードを変数でわなく、わざわざパーミッションがゆるい/tmpにファイルとして保存する理由は？umaskが適切でないと誰でもアクセスできるよね
・htpasswdの引数に生でパスワードを書く理由は？sudoのlogfileにパスワードが残ってるよ
・定期実行するスクリプトでsudoを呼び出しているけれどsudoersでNOPASSWDを設定するリスクは評価してる？

どうせ「これはPoCだから本番はちゃんとしてる」とか言って逃げるんだろうけどね。
基本的なセキュリティができないやつだって思われてるよ。

上下前次1-新書関写板覧索設栞歴

ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ

ぬこの手ぬこTOP 0.027s