プログラミングセキュリティに関して質問です。


例えば、とあるサービス等で
パスワードの再設定を行う際とかに
一時的にその人個人のURLが発行され、
そこにアクセス後、パスワードを再設定しますよね。

https://xxxxxxxxx.jp/?29ab650f56718d24673e35edb4d5446d

↑みたいな感じで。

セキュリティの観点からだと思うのですが
大体のサイトがこのURLの有効期限を1日とか2日に設定しているようです。
これにはどのようなセキュリティリスクがあるのでしょうか?

例えばmd5などで暗号化したURLであれば、問題ないんじゃないかなあなんて、素人知恵で思うのですが。

当方プログラマなのである程度のことはわかるのですが、セキュリティに関する知識が乏しいので
ご指導頂けると幸いです。

回答の条件
  • 1人5回まで
  • 登録:2007/04/24 17:30:07
  • 終了:2007/04/27 14:48:52

回答(2件)

id:hemehemekun No.1

hemehemekun回答回数72ベストアンサー獲得回数62007/04/24 17:52:25

ポイント35pt

 有効な期間が長いほど、総当たり攻撃による突破やメールなどで送られたそのアドレスの漏洩などの可能性が高まります。

 現実にはその可能性は低いかもしれませんが、下げられるリスクは下げておくものでしょう。

id:monkey_punch

なるほど、ありがとうございました。

2007/04/27 14:46:39
id:Yota No.2

Yota回答回数453ベストアンサー獲得回数282007/04/24 18:40:36

ポイント35pt

http://ja.wikipedia.org/wiki/MD5

md5を暗号化関数と呼ぶのは不正確でハッシュ関数と呼ぶべきだと思います。その特徴の一つは不可逆性です。生成されたハッシュ値からもとデータを推測することができないということです。でも、適当に予想した文字列を同じmd5でハッシュ化して結果があっちゃえば、終わりです。

http://www.ecoop.net/memo/2006-04-11-2.html

ですから、ハッシュ化したら安心とはいえません。

次に暗号化すればどうかということですが、暗号化したからには復号する方法があるということですから、未来永劫破られない暗号などありません。ただし、破るのに天文学的な時間がかかる暗号化手法はいっぱいあります。

以上のような理由で、悪意のあるクラッカーなどに時間を与えないということが大事だと思います。だから、制限時間が設けられているのではないでしょうか。


銀行のパスワードだってなるべく頻繁に変更してくださいといっていますよね。

id:monkey_punch

やはり総当りで合っちゃうのを防ぐということですね。

ハッシュに関してもご指摘ありがとうございます。

2007/04/27 14:48:33

コメントはまだありません

この質問への反応(ブックマークコメント)

トラックバック

  • https(SSL)とセッションid付URL てくてく糸巻き 2008-06-21 11:55:59
    ウェブで検索したけれど見つけられないので、誰か答えてくれることを期待して晒します。(引用あるので長いです)疑問は下記質問を「見た」ことから始まります。1. プログラミング...
「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません