K.Maebashi's BBS

この種のセキュリティって奴を考察する上では、 ・誰から何を守るのか ・かかるコストが効果に見合うか を考えないと意味がない。 正規の管理人が平文パスワードを（見たくないのに誤って）見てしまうこと対策 掲示板運営している httpd サーバに侵入されて掲示板ソースだけ盗まれた場合の対策 遠隔地からデーターベースに侵入されてデータだけ盗まれた場合の対策 httpd と DB 両サーバに侵入されてソース＋データが両方盗まれた場合の対策 下に行くほど、なさそうなシナリオ＋被害大、なわけだが ・現実的にありえないような状況に対する施策のために 　コスト（金銭的、手間的）をどこまでかける必然があるか？ の線引きになるだけのこと。 掲示板ソフト上の固定文字＋乱数 salt ＋ユーザーパスワード、ってのは現実的解だと思う。 今頃だったら md5 でなく sha1 にするともう少しマシになるかもしれない。