RSSフィードについて

RSSリーダーで、フォーラムの新着投稿情報がチェックできます。
詳しくは下記ページを参照して下さい。

RSSフィード  RSSフィードについて

ご自由に情報交換の場として御利用ください。
また質問の前には「回答を得るには?」を参照してください。


GroupSessionへの要望があれば参考にさせていただきます。
要望リストも参考にしてください。


 
フォーラム  フォーラム
03_プラグイン開発フォーラム
スレッド  タイトル

プラグインでパスワードを取得する方法


[ 3493 ] プラグインでパスワードを取得する方法
投稿者: barathea
投稿日時:  2010/12/21 11:52:10
初めて投稿させていただきます、baratheaと申します。

現在、プラグイン側でグループセッションのIDとパスワードを取得して
別のシステムにログイン情報として飛ばす仕組みを作っています。
そこでパスワードの値を取得する方法が全く見当も付かず困っております。

セッション情報からIDを取得する方法は技術情報に書かれている通りで
特に問題はないのですが、
パスワードはセッション情報から取得できるものではないようで、
改修の対象もJAVAなのかJSPなのか、
どのように実現したらよいか分かりません。

どなたかプラグイン側でパスワードを取得する方法を実現、または
開発を検討されている方がおりましたら、アドバイスまたはヒントを
頂戴できればと思いまして質問いたしました。

よろしくお願いいたします。
  引用返信
[ 3495 ] Re: プラグインでパスワードを取得する方法
投稿者: m.s
投稿日時:  2010/12/21 15:48:41
パスワードそのものはグループセッションでは記録されていないので、取得することは出来ません。
暗号化されたパスワードならばデータベースの「CMN_USRM」テーブルの「USR_PSWD」に記録されていますので、このテーブルから取得することが出来ます。

グループセッションと同じIDとパスワードでユーザー認証を行いたいというのでしたら、暗号化されたパスワードを利用可能な場合がありますが、素のパスワードが必要なのでしたら実現不可能だと思われます。
  引用返信
[ 3496 ] Re: プラグインでパスワードを取得する方法
投稿者: kon
投稿日時:  2010/12/21 16:22:37
復号化については下記記事をご参照ください。

http://www.gs.sjts.co.jp/wbs/bulletin/bbs080.do?bbs010forumSid=3&threadSid=957
  引用返信
[ 3498 ] Re: Re: プラグインでパスワードを取得する方法
投稿者: barathea
投稿日時:  2010/12/21 19:55:43
m.s様

さっそくアドバイスをいただきまして、ありがとうございます。

> パスワードそのものはグループセッションでは記録されていないので、取得することは出来ません。
> 暗号化されたパスワードならばデータベースの「CMN_USRM」テーブルの「USR_PSWD」に記録されていますので、このテーブルから取得することが出来ます。

セキュリティを考えたら当然といえば当然ですが、
やはり素のパスワードをそのまま取得することはできないのですね。

> グループセッションと同じIDとパスワードでユーザー認証を行いたいというのでしたら、暗号化されたパスワードを利用可能な場合がありますが、素のパスワードが必要なのでしたら実現不可能だと思われます。

グループセッションから別のシステムへのシングルサインオンを実現したかったのですが
おっしゃる話だとなるほどかなり難そうですね。
ひとまず暗号化されたパスワードを解読できるかどうかやれるところまでやってみたいと思います。

ありがとうございました。
  引用返信
[ 3499 ] Re: Re: プラグインでパスワードを取得する方法
投稿者: barathea
投稿日時:  2010/12/21 20:06:13
kon様

さっそくアドバイスをいただき、ありがとうございます。

> 復号化については下記記事をご参照ください。
>
> http://www.gs.sjts.co.jp/wbs/bulletin/bbs080.do?bbs010forumSid=3&threadSid=957

暗号化と復号化のおおまかな仕組みは理解できるのですが、
この記事を呼んだだけでは全くピンと来ないのが正直な感想です。。。

ひとまず詳細を調べて分かるところまでチャレンジしてみようと思います。

  引用返信
[ 3501 ] Re: プラグインでパスワードを取得する方法
投稿者: GSユーザーα
投稿日時:  2010/12/22 09:40:25
ちょっと趣旨と外れますが・・・。

GSと同様の方式で平文パスワードを暗号化して比較する、という方式で実現してはどうでしょうか?

SSOを実現する際に連携先のシステムで平文パスワードを保持していれば、技術的には可能です。
  引用返信
[ 3555 ] Re: Re: Re: プラグインでパスワードを取得する方法
投稿者: 2011
投稿日時:  2011/01/19 09:47:04

> > http://www.gs.sjts.co.jp/wbs/bulletin/bbs080.do?bbs010forumSid=3&threadSid=957
>
> 暗号化と復号化のおおまかな仕組みは理解できるのですが、
> この記事を呼んだだけでは全くピンと来ないのが正直な感想です。。。
>
> ひとまず詳細を調べて分かるところまでチャレンジしてみようと思います。

実は案外簡単に復号化できます。javaの初期値が分からず調べていったら別言語ですがCrypt::ECBでした。
ここでGS開発担当の方に要望したいのは、インストール時に暗号化のキーとなるパスフレーズ定数部分をそのシステムにあわせて自動変更して欲しいということです。もしくは、非可逆性のパスワードシステムに変更して欲しい。
DBを持ち出されると、記録してある全員の平文パスワードが手に入るので悩みます。
こんな意味合いもありあまり書かない方が良い感じがしています。
  引用返信
 
スレッドURL:
 

クラウド版グループウェアbycloud

Twitter
開発スタッフのつぶやき http://twitter.com/gsession_jts
Facebook
メールマガジン
GroupSessionのセキュリティ情報、アップデート情報をお伝えするメールマガジンです。(無料)
メルマガ『速報!GroupSession』
ブログ
スタッフによる開発日誌を公開しています。
「Public JTS スタッフブログ」


Copyright 日本トータルシステム株式会社