第12列車公開しました。今回の反省点について書きたいと思います。

ありがたいことに今回もはてブ100usersを超えホッテントリ入りしました。

しかし、様々な方からツッコミをいただきました。

ありがとうございます。

しかし、正確に伝えることって本当に難しいですね。

今回ご指摘いただいた内容は、知らなかったわけではないのですが、うっかりミスでした。

今回は、「ハッシュ化しろ」という結論を導くため、文脈の混乱を避けようと、あえて復号可能な暗号化についての言及を避けました。その結果、筆者自身の脳内で無意識に「平文＝ハッシュ化していない」と短絡してしまい、微妙に不正確な記述となってしまいました。

また、今回はHTTPSを前提とした話でしたが、例えば何らかの事情でHTTP+Digest認証を使用している場合はチャレンジレスポンス認証の都合上、パスワードをハッシュ化して保存することができません。さらに範囲を広げれば、PPP認証におけるCHAPも多分そうですよね。ですので、「どんなケースでもハッシュ化しろ」というのは実はそんなに簡単なことではありません。（PPP認証なんか、EAP周りがカオスな上に、運用が超煩雑ですからね……）

他にも平易な表現を心がけた結果として、それが裏目に出て誤解を生みやすくなってしまった箇所もありました。例えば、「同じパスワード、同じ方式であれば、ハッシュ値は同じになる」という記述は、ここでいう「方式」に「ランダムなソルト付加」を含む場合は誤りです。また、極論をいえば、ここでいう「方式」に、使用するコンピューターや実施環境まで含まれるならば、宇宙線によるメモリのビット反転も考慮しなければなりませんね。要は、ここで単に「方式」という曖昧ワードを使ってしまったことが反省点です。

また、4コマの部分も、メールが送られてきた経緯が分かり辛く、初期パスワードの送付と誤読されかねない感じだったため、もう少し分かりやすく4コマに詰め込んだら良かったのではないかと反省しています。

しかし、こういう感じのミスに自分で気付くのは本当に難しいです。チェックしているときは、自動で脳内補完が働いてしまうので、記述が不十分でも気付けません。

査読を依頼するほどは予算がないので、結局は自分でチェックするしかありません。みなさんの、おすすめのセルフレビュー方法などがあれば教えてください。