今なら、えー、信じられなーい、な話は昔は普通に行われていたのはある程度仕方のない話ではあるんだけど、今更ながらこのツイートには考えさせられた。
徳丸本の初版(2011年3月)を執筆していた当時の記憶を思い出しますと、当時は「パスワードはソルト付きハッシュ値で保存せよ」というのは、ウェブアプリ界隈ではあまり普及してなかったと思います。ウェブアプリ分野で参考にできる日本語記事が、当時ほとんどなかったというのがその根拠です
— 徳丸 浩 (@ockeghem) January 30, 2019
2011年ですぜ…
高木先生がクレカ業界の状況を問題視したのが2005年の11月のこれ。
高木浩光@自宅の日記 - SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも, クレジットカード業界は最もWebセキュリテ..
うーむ。
僕はまあ銀行でやっていたってのもあってhttpsじゃないとか考えられないし、平文でのパスワード保存もありえないという認識は当時からあったけど、クレカってその場で口座から金がなくならない仕組みなので問題を起こさないセキュリティーというよりは問題が起きたときのリスク評価がベースになっていて、損保に近い発想なのかも、なんて思ったりはする。
単体のサービスの強度がサービスによって異なる、というのはそのIDがサービス固有のものである、という前提に成り立っているところもあって、同じメールアドレスとパスワードのセットで複数サービスを利用する、というのは利用者側がギルティな世の中になっちゃっているのは確かで、とはいえ利用者側としては信頼できる認証サービスにIDを一元化できるというわけでもない世の中であるからして、ウェブで個人情報を取り扱うサービスは定期的にサンプル立入検査をするべきじゃないか、とか考えてしまいますな。
ともあれ、ID/PASSWORDに一手に依存している現状の仕組みもよろしくないわけで、もう少しドラスティックな変革が起きないといかんという気はしています。
