[PHP-users 62] Re: ユーザー認証におけるパスワードの保存機能について

BAC php-users@php.gr.jp
Fri, 15 Jun 2001 02:10:31 +0900


BACです。

On Fri, 15 Jun 2001 01:21:03 +0900
Shinichi Yamanaka <yamashin@yabumi.com> wrote:

> 今晩は、山中と言います。

> クライアントがWin+IE(ほかの組み合わせは分かりませんが)の場合、
> basic認証の時には、認証ダイアログにパスワードの保存と言う
> チェックボックスがあり、ログインページを作成しての認証の時には
> オートコンプリート機能により、ユーザーIDとパスワードが保存される
> ことがあります。
> 例えば、クライアントPCの台数以上のユーザーがいる場合、
> 上記の機能により、他人のユーザーIDとパスワードで簡単に
> ログインできてしまう可能性があります。
> この様な場合、どう対処すべきかを、ご教授願えませんでしょうか。

 この場合、不利益を被るのが誰か、で対処は変わってくると思います。
不利益を被るのがユーザであれば「オートコンプリートを使用すると簡単にパス
ワードが他人にばれますよ。そうするとあなた、困りますよ」と教育するのがス
ジかなぁ、と。で、契約内容には「契約者の非によりパスワードが漏洩して第三
者に悪用されたとしても責任は負わない」と盛り込む、といったところでしょう
かね。パスワードの管理はユーザの責任です。

#オートコンプリートを使えないようにしても、ユーザIDとパスワードを
#ポストイットに書いてディスプレイに貼られたら同じことです。

 サービス提供側が不利益を被るのであればまた話は別ですが。

----------
BAC (bac@dev-nul.com)