Salted-Hash対応完了

[新居雅行]

認証ユーザのテーブルに保存するパスワードのハッシュですが、リクエストにお応え
して任意のソルトを設定できるようにしました。テスト用のデータはみんな同じソル
トですが、ユーザ登録時に自動的にソルトをランダムに生成します。

ソースはGitHubにのせました。FX.phpも6.0改造版に乗せ変えました。

通常のフレームワークはサーバ側だけで処理するので、サーバ側がクライアント側で
入力したパスワードを得て、双方のハッシュを比較するのが一般的かと思います。INTER-
Mediatorでは、クライアントからパスワードを出さないようにするためにハッシュを
かけた値をサーバに送っていますが、その結果、ソルトについてはネットワーク上で
暗号化かかっていないそのままの値で流れています。つまり、あるユーザで認証した
いという要求がクライアントからサーバに送られますが、そのときにチャレンジとソ
ルトをクライアントに送り、クライアント側でソルトとパスワードを合成してハッシ
ュを計算しています。まあ、これ（ハッシュが隠匿されていないこと）はセキュリテ
ィ上の脅威はないのですが、懸念点があればご指摘ください。

タイムアウトの動作を組み込んだくらいで、次のリリースにしますが、ちょっとしば
らく取りかかれないかもしれないので、ソースだけは更新しておきました。

_______________________________________________________________
新居雅行/Masayuki Nii <n...@msyk.net> <ms...@mac.com>:iChat Ready
Web Site <http://msyk.net> / INTER-Mediator [for Web App] http://msyk.net/im
Twitter: @msyknii (Japanese), @MasayukiNii (English) / Facebook: Masayuki Nii