[SECURITY] httpsじゃないログイン画面でもセキュリティを保つ方法はあることはある
http://neta.ywcafe.net/000519.html
さんところより。
なるほど、さっそくみてみると、
チャレンジ・レスポンス方式かな?
これの、サーバからキーもらうタイプですな。
http://premium.nikkeibp.co.jp/security/special/index02_04_01.shtml
で、キー生成にはmd5を利用してるのか、ふむふむ。これか。
日本語訳してくれてる人が居るからこっちみてみよう。
http://www.akanko.net/marimo/data/rfc/rfc1321-jp.txt
yahooでは、直接ログインページにロジック書かれてましたが、
md5.jsなどといったライブラリもあるようす。ふむふむ。。。
ってこんな話どっかで聞いたことあるような無いような。思い出せん。。。
メモついでに、
パスワードをmd5で変換したテキストを安全でない経路でおくると、
そのテキストをパスワードよろしく再利用が容易に可能。
偽認証時に、その暗号化したテキストを送れば良い。
ということで、「md5で暗号化しているので安全です」だけでは
△ −5点 びみょーに足りません
じゃないですかね?(ってだれにいってんだか)
もし認証時の通信テキストを取られても
それを容易に流用できないという点で
Yahooの今のログイン画面は「セキュリティを保つ」。
という話もどっかできいたことがあるような無いような。。。。。
あのロジックそのものも結構興味ありです。はい。