  |
ユーザIDは変更させない仕様にするからいい? 顧客に対しては確かにそれでいいかもしれない。でもfuckとかsuckとかrootとかadminとか、あなたの社名とか、あるいは後日の事情でその文字列の塩梅が悪くなったら、どうする?
GUIDが何を指すかによるけど、これはアリ
初回登録日時でも悪くなさそう。
十分に悪くないけど、日時って精度やタイムゾーンや暦というファクターがあるものだから、少し気持ち悪い。
time_t的なものなら大丈夫? そうだね。でも「初回登録日時」が何を指すか、パスワードを決めさせる前の仮登録なのか本登録なのか、解釈が揺れるリスクが少しありそうなのも気持ち悪い。
これらはどっちかというとコード保守の範疇の話だけどね。でもいつかの未来にタコなスタッフが不十分な理解でコードをいじる可能性を考えると、やっぱり気持ち悪い。
これもアリ。いわゆるsaltだね。というか、これ「も」使うのが普通。
ハッシュ化されたパスワードが流出したとき、同じパスワードのやつが特定される問題ってさ、 最初からユーザーID+パスワードでハッシュ化しとけばいいだろうが。って思うんだけど、...
ユーザーID+パスワードでハッシュ化しとけば これだと、後日ユーザーIDを変更できなくなるね。 ユーザIDは変更させない仕様にするからいい? 顧客に対しては確かにそれでいいかもし...
先生、丁寧な解説ありがとうございます! よく言うソルトつきハッシュってそういうことだったんですね。 しっかりと調べもせずに書いてしまってお恥ずかしい限りです。
13
