サーバいじくり雑記

2013年12月19日

パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと

Filed under: セキュリティ, Database, 開発技術, Web — bompopo @ 10:22 PM

パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと

おお、なるほど!!これはいい方法だ!!ここまで考えが至ってなかったな〜。というかストアドプロシージャとか存在を忘れていたよ(笑

ハッシュ化をアプリ側でやるとなるとソルトを読み出しできるようにするか、ハッシュ値をストアドに渡して内部でソルトを加えたのをさらにハッシュ化(ある意味ストレッチ?)する感じ?後者の方がいい感じに見えるけど、ソルト前のハッシュ値がSQLログに残る(同じ問題…)のでSQLログが読めちゃう権限取られるとヒントを増やしちゃう感じ?

どうすんのがベターじゃろか。

広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。