Proposal #97
DBを覗くとパスワードが見える
| Status: | 新規(New) | Start date: | ||
|---|---|---|---|---|
| Priority: | 低め(Low) | Due date: | ||
| Assignee: |  Toshiyuki Ando |
% Done: | 0% |
|
| Category: | - | Spent time: | - | |
| Target version: | some distant future(いつかやる) |
Description
HudsonのパスワードがDBの中にそのまま入ってるので、DBを開ける人が覗くとパスワードが判ってしまいます。
暗号化されるとよいと思います。
History
Updated by Haru Iida over 2 years ago
- Target version set to some distant future(いつかやる)
Updated by Toshiyuki Ando over 2 years ago
これですが、
- 暗号化につかう鍵は結局プログラムの中に保管することになる
- 全部テキストだから分かる人がみたらすぐ複合化できる
- リポジトリのパスワードはどうなっているんだろう?
- 平文で保存しているみたいだ
ということで、Hudson もそうしています。
なので、ホントにいつかやる。かなー。
Updated by Toshiyuki Ando over 2 years ago
- Priority changed from 通常(Normal) to 低め(Low)
Updated by Haru Iida over 2 years ago
ということで、Hudson もそうしています。
なので、ホントにいつかやる。かなー。
先日、会社の他部署の開発環境構築支援をしていたんですが、そのときたまたまDBを覗いたらパスワードが見えちゃったんですよね。
パスワードを盗もうとしている人からパスワードを守るのはとても難しいのですが、見たくない人が見ちゃうのを防ぐことはできるかな、と。優先度は確かに低くてよいと思います。
Updated by Haru Iida over 2 years ago
Eric DavisがTwitterで
Yet another website that stores plain text password. Come on, it's easy to hash them, let's all start doing it.
って言ってますよ。
Updated by Toshiyuki Ando over 2 years ago
うーむ。
trunk の対応方法見て、修正してみましょうかねー。
Updated by Toshiyuki Ando over 2 years ago
- Start date deleted (
06/18/2009)