日記 2022/08/01
日記!
四国旅行
高知市のホテルで目を覚まし、電車でかずら橋へ向かった。
マジでグラグラしてて怖かった… pic.twitter.com/M7L11g00mH
— とるめん (@qwyngg) August 1, 2022
歩くたびに揺れるし足場の感覚広いしで本当に怖かった。
とはいえ景色があまりに夏休みすぎて最高だった。僕たちの夏はこれからだ。
夕食では寿司を食べた。あまりに美味しすぎて虹がかかった。
人生 最高 高み 幸福 桃源郷 喜び 涙 跳躍 一筋の希望 虹 pic.twitter.com/CeCDe5I7rM
— とるめん (@qwyngg) August 1, 2022
学び
四国在住の方に奇跡のオフ会に誘っていただいたので、お会いする方繋がりでSMTPの書籍読んだりRailsの認証のスライドをみたりしていた。
Build and Learn Rails Authentication
特にPepperとSaltの違いが自分の中では勉強になった。DevisePepperとかいうアレはSaltとは違うものだったらしい。
そもそもPepperがSaltと違うものだという認識がなく、Saltは秘密にする値だという意識を持っていた。
bcryptでは出力される文字列にはSaltがそのまま載っている仕様なので、自分がbcryptの仕様をよくわかっていなかったことが判明した。
PepperはSecretSaltとも呼ばれており、データベース以外の場所(データベースの中身が漏洩した時に同時に流出する可能性が低い場所)に秘密の値を保存しておき、この値をパスワードをハッシュ化する時に用いるのがPepperという手法らしい。
この手法を用いることで仮にハッシュ化したパスワードが全て漏洩してとしても、辞書攻撃を防くことができる。
Pepperをハッシュ化されたパスワードの暗号化の秘密鍵として使う手法もあるようだ。