上野 おぉ〜〜これは……やばいね。
荒井 やばいですか。
上野 うん。いや、一人でここまで実装できるのはすごいよ。でもかなり危ない箇所があるから、そこを直していこう。
荒井 そんなにですか。
上野 まぁ初めのうちはよくあるよ。じゃあ問題点を洗い出してみようか。
上野 まずは簡単なところから。パスワード入力欄なんだけど、これ入力したパスワードがそのまま見えるようになってるよね。例えば、この画面を第三者に見られたら簡単にIDとパスワードを見られちゃう。
荒井 確かに……
上野 他のWebサイトとかを見ると分かると思うけど、一般的にはパスワード入力欄は何を入力しても伏字を表示するのが普通かな。
荒井 アスタリスク(*)になってるのをよく見ます。それで「パスワードを表示する」という項目にチェックを入れると文字列を確認できるとか。
上野 うん。そうすれば誰も見ていないのを確認してからパスワードをチェックできるからね。
上野 で、次。例えば存在しないIDをテキトーに入力してログインしてみると「そのユーザーは登録されていません」って表示されるよね。これだと攻撃者に与える情報がちょっと増えてしまう。
荒井 あ! 存在しないことがばれちゃうんですね。
上野 そう。そのIDについては調べなくてもよくなる。いろいろ議論されていて絶対にそうとはいえないけど、一般的には攻撃者に与える情報が極力増えないように「IDまたはパスワードが違います」と表示するのがいいとされている。
荒井 どっちが違うのかをぼかして伝えるんですね。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR