相変わらず、申し込み方法に戸惑う。なんかわかりにくいんだよね。
いつだか忘れたけど、SCISで利用してたシステムではパスワードが平文でクッキーに入っていたとかという事が
あったらしいけど (ナイトセッションで聴いて初めて知った)、今回のシステムは、パスワードを何のソルトも無しに
MD5ハッシュにし、それをクッキーに放り込んでいた。
まぁ、通信は全部HTTPSなので、盗聴の危険はないと思うけど、HTTPでもそのクッキーは送出可能な状態なんだよね。
なので、もしパスワードのMD5ハッシュが漏れるとローカルでパスワードを探せる感じ?
このシステムが同じハッシュ値を返す本当のパスワードじゃない偽のパスワードでログインできるかはしらないけど
とりあえず辞書攻撃とか総当たりをローカルで実行できるのでうれしいねっ。 という程度なのかな?
ところで、ファイルを送る部分だけなんで、HTTPなんだろう?w
確認はしなかったけど、クッキーが送出されると思うよ?