|
>>4049 has その文章を書いたのは 5〜6年前なのでもう忘れてしまいましたが、 改めて考えてみました。 まず、 - ファイルに生パスワードを保存しておくのはよいことではない というのは納得していただけるかと思われます。 もちろん、デメリットを上回るメリットがあれば生パスワードを保存 してもよいのでしょうが、APOP については特にメリットらしきものは 見当たりません。 また、管理面からいっても、UNIX のシャドウパスワードと別管理でも よい場合もあるでしょうし、別管理になっても構わない場合もあるでしょう。 しかし、APOP では別管理にせざるをえません (選択の余地がない)。 > それではどんな方法だと納得できそうですか? APOP はサーバがクライアントにタイムスタンプを通知する際、サーバが 保持しているパスワードが - 生パスワード - パスワードの MD5 値 - パスワードの SHA-* 値 のいずれであるかを通知する、というのがわたしの考えです。 そうすれば、クライアント側はそれに応じて入力されたパスワードをそのまま 送るか、MD5 値を送るかを決定できます。また、サーバ管理者の方針により、 生パスワードで管理することもできるし、シャドウパスワードと共用にする こともできます。 なお、この部分はどうも叩かれ所のようで、この APOP 批判の文章を読んで 「こいつはわかってない」と評価している人を掲示板などで見かけます (わたしは何がどうわかってないのかが理解できないので、何ともいえない のですが)。 >>4050 上田 > 実は『シグナルハンドラを戻すなどの対処』部分がよく分かりませんでした。 > もしよろしければこの部分のコードを教えていただけないでしょうか? $SIG{CHLD} = 'DEFAULT'; です。 |
|
>>4051 68user > 管理面からいっても、UNIX のシャドウパスワードと別管理でも > よい場合もあるでしょうし、別管理になっても構わない場合もあるでしょう。 > しかし、APOP では別管理にせざるをえません (選択の余地がない)。 そうですね。使う側がやりたいように出来るよう、自由度を持たせておくという 考え方のツールは多い気がしますし。 > サーバが保持しているパスワードが > - 生パスワード > - パスワードの MD5 値 > - パスワードの SHA-* 値 > のいずれであるかを通知する 同感です。 > なお、この部分はどうも叩かれ所のようで、この APOP 批判の文章を読んで > 「こいつはわかってない」と評価している人を掲示板などで見かけます そうなんですか。私にもよくわかっていないようなので誰かに教えて欲しいです。 RFC2195とかにはchallenge-response authentication protocolを使うと サーバにパスワードを*平文で保存せずに済む*とあるようです。 ひょっとしてパスワードとは別の、もっと重要なことが理解できてない ということなのかもしれないですね…。 |