senooken JP Social
  • FAQ
  • Login
senooken JP Socialはsenookenの専用分散SNSです。

  • Public

    • Public
    • Network
    • Groups
    • Popular
    • People

Conversation

Notices

  1. h12o is fully Modernized (h12o@blessedgeeks.org)'s status on Monday, 25-Feb-2019 09:29:28 JST h12o is fully Modernized h12o is fully Modernized

    https://blog.tokumaru.org/2019/02/caution-bcrypt-with-sha512.html

    > PHPのbcrypt実装はオペレーティングシステムのcrypt(3)ライブラリに依存しており、NULLターミネート形式の文字列でパスワードを受け取ります。すなわち、bcryptは72文字の切り詰め問題に加えて、「バイナリセーフでない」という仕様上の制約があります。
    >
    > 「独自実装せずに、安全なライブラリやフレームワークの機能を用いる」とは、ライブラリ等を使う際に余計なことをしないということでもあり、本稿で紹介した例は「余計なこと」をやってしまった副作用の例であると考えます。

    車輪の再発明をしないからといって車輪の仕組みを知らないでいると痛い目に遭うのだなあと思う。または余計なことを知っておくことで「余計なこと」をしないようにすることってすごく大切だなあと思う。

    In conversation Monday, 25-Feb-2019 09:29:28 JST from blessedgeeks.org permalink

    Attachments

    1. bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点
      宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。P...

    Feeds

    • Activity Streams
    • RSS 2.0
    • Atom
    • Help
    • About
    • FAQ
    • TOS
    • Privacy
    • Source
    • Version
    • Contact

    senooken JP Social is a social network, courtesy of senooken. It runs on GNU social, version 2.0.2-beta0, available under the GNU Affero General Public License.

    Creative Commons Attribution 3.0 All senooken JP Social content and data are available under the Creative Commons Attribution 3.0 license.