生パスワードを保存せずにWSSE認証するには?
パスワードのハッシュ値を認証に使うってなったら、サービスが保存しているパスワードの変換方式を公開しなければならないのでsaltが意味なくなって、もしパスワードが漏れた場合にブルートフォースしやすくなるんじゃないか?
・---
はてなフォトライフAtomAPI
http://d.hatena.ne.jp/keyword/%a4ϤƤʥե%a9%a5ȥ饤%a5%d5AtomAPI
次世代XML Webサービスを試す Part 2
http://www.atmarkit.co.jp/fdotnet/special/...
WSSEのセキュリティリスクとその対処法に関する一考察
http://satoshi.blogs.com/life/2008/04/wsse...
はてなはパスワードを生データで管理してる?
http://d.hatena.ne.jp/koseki/20060330/wsse
メモ
生のパスワードの代わりに「チケット」発行すれば良いんじゃないだろうか?