これは少しの作業が必要です。 WPパスワードは塩漬けのMD5ハッシュとして保存されます。このハッシュは送信しているSHA1と一致しない可能性があります。さらに、パスワードの「クリアテキスト」は保存されないため、追加のSHA1値を自動的に生成することはできません。
ここでは、この問題を攻撃する方法についての私の頭の上からの提案のカップルがあります:
- はアプリがHTTPSを使用して接続し、パスワードの平文を送ってもらいます。これは最も安全で、WPコードの再編集を必要としませんが、利用可能なオプションではない可能性があります。
- アプリに対称キプロスで暗号化されたパスワードを送信させ、アプリとWPの両方が秘密キーを知っているようにします。複数の場所での秘密鍵の管理は大変です。あなたは結局それが最終的にリークするだろうと仮定しなければならず、そしてセキュリティは窓から外に出る。
- ユーザがWPに正常にログインしたとき(またはパスワードが作成されたとき、またはパスワードが変更されたとき)は、パスワードのSHA1であるユーザメタ値を作成します。その後、このアプリケーションで将来の認証に使用できます。
サイトの詳細によっては、#2と#3のアイテムは実際には安全ではありません。 #2はちょうどハックを待っています。#3が暗号化された接続で行われない限り、ネット上で平文パスワード(SHA1の形式)を効果的に送信しています。
アプリ開発者に#1を実行させることができない場合は、#3と一緒に行くことをお勧めします。誰も本当にサイトが管理している情報に興味がないことを願っています。
提案をいただきありがとうございます。ピーター、私はiPhoneの開発者と話をしてお知らせします – chifliiiii