masakiti2005 https://blog.hatena.ne.jp/masakiti2005/ masaのメモ置き場 https://masakiti2005.hatenadiary.org/ Security Webアプリケーションセキュリティの基本として以下のような解説文をみかけることがある。ログイン画面で誤ったパスワードが入力された場合に「パスワードが違います。」と表示してはいけない。「存在するユーザID」が分かることで、セキュリティの強度が下がるからだ。ユーザIDが違う場合でも、パスワードが違う場合でも、「ユーザ名またはパスワードが違います。」と表示すべきである。一見分かりやすく要点が述べられているように思えるが、実は実際にシステム開発を行う時に矛盾を感じる解説であったりする。 ログイン画面があるアプリケーションには、新規登録用の画面が通常存在する。その際、存在するユーザIDを登録しようとする… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fmasakiti2005.hatenadiary.org%2Fentry%2F20060108%2F1136731467" title="いまいちに感じるセキュリティの解説 - masaのメモ置き場" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2006-01-08 23:44:27 rich https://masakiti2005.hatenadiary.org/entry/20060108/1136731467 1.0 100%