Web技術の情報サイト(+ ICTリテラシーなど)
投稿日:
最近ではアカウントを作成しないと利用できないサービスが増えていますが、パスワードを設定する画面に、パスワードに使える文字の種類について説明がないサービスがあります。
サービスを利用する側としては、強度の高いパスワードを使いたいので記号を含めたいのですが、あまりマイナーな記号を使うと、そのサービスを利用する過程のどこかで問題を引き起こしてしまうのではないかと心配になってしまいます(開発についてある程度知っているので)。
パスワードの文字によって問題が起きるサービスの方がおかしいのですが、万が一、そのサービスのシステム側でその記号を想定していないため、脆弱性といいますかバグが発生した状態になってしまっていると本当にやっかいです。例えば、パスワードを新規に登録した直後に、そのパスワードでログインできないということも考えられます。
説明がないということは、クラッカー(サイトへの攻撃者)に情報を与えないという意味でセキュリティを高めるのかもしれませんが、通常の利用者が強度の高いパスワードを使いづらいのであれば、トータルで見てセキュリティへの効果はマイナスなのではないでしょうか。
執筆者:
関連記事
KeePass の自動入力でURLを比較させるため、Chrome拡張機能「URL in title」を使う
KeePass の自動入力のために、Chrome拡張機能「URL in title」を使う手順を紹介します。
バッファオーバーフロー by IPA「安全なウェブサイトの作り方 第7版」
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「バッファオーバーフロー 」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブサイトの特 …
HTTP ヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「HTTP ヘッダ・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブ …
Android で MD5 や SHA1 のハッシュ値をチェックする方法
追記 2021年, 気がつくと MD5 Checker は Google Play Store からなくなっていました。 目次1. はじめに2. 利用するアプリのインストール3. MD5 Checke …
CSP (Contents Security Policy) の記述例
目次記述例メモその他のメモ参考 記述例 デフォルト設定の記述をする(HTTPレスポンスヘッダの出力)。 同一オリジンも含めて全てのソース1からの読み込みを禁止する場合 Content-Security …
ラボラジアン 
