ご存知かもしれませんが、当社の技術チームは、以来、当社のサイト (および他の Gawker Media サイト) のセキュリティを監査しています。ハッカーが私たちのシステムに侵入しました。私たちが学んだことの 1 つは、私たちの認証は非 ASCII 文字を扱うのにそれほど便利ではないということです。
新しく鋳造されたところへゴーカーテックブログ、Gawker Media CTO Tom Plunkett が、非ASCII文字(© や Д など) はセキュリティ上の問題を引き起こします。基本的に、バックエンド (および場合によってはインターネット上の他のサイトでも) では、非 ASCII 文字は交換可能です。鋭い観察力のある読者は次のように指摘しました。
...パスワード「ДДДДДДДД」でアカウントを作成した後、「簡簡簡簡簡簡簡」、「ႤႤႤႤႤႤႤႤ」、「©©©©©©©©」と入力することで正常にログインできました。 '。 Unicode コードポイントが 128 以上である正確に 8 文字の文字列が受け入れられることがわかりました。
それで、それはあなたにとって何を意味しますか?
ほとんどのユーザーには影響しません - パスワードに非ラテン文字を使用していない場合は、何もする必要はありません (「
ウィキペディア
影響を受けない文字 (US-ASCII) の詳細については、を参照してください。
ラテン語以外の文字を使用する場合は、パスワードをリセットして、これらの特殊文字を完全にサポートするようにパスワードを更新する必要があります。
Tom 氏は、この問題に対処するために、「パスワードに非 ASCII 文字を使用してログインした場合、リセットするよう促す」とも述べています。詳細についてはこちらをお読みくださいゴーカーテックで。
