Задачка
Решил для прикола зарегистрироваться на сайте. Требуют достоверно введенного email-a. Приходит письмо на почту, в котором НАПИСАН МОЙ ЛОГИН И ПАРОЛЬ.
Вы думаете "да ладно, это же твоя почта, какая разница?". А я вам скажу какая. Первое правило хранения пароля пользователя - не хранить пароль пользователя! Для идентификации правильности введенного пароля используется хеш функция. При регистрации нужно прохешировать пароль и сохранить полученный набор символов. А при авторизации хешировать введенный пароль и сравнивать с сохраненным. Таким образом никто не знает твоего пароля, кроме тебя.
Вы думаете "да ладно, это же твоя почта, какая разница?". А я вам скажу какая. Первое правило хранения пароля пользователя - не хранить пароль пользователя! Для идентификации правильности введенного пароля используется хеш функция. При регистрации нужно прохешировать пароль и сохранить полученный набор символов. А при авторизации хешировать введенный пароль и сравнивать с сохраненным. Таким образом никто не знает твоего пароля, кроме тебя.
раскрыть ветку (12)
Никто его и не знает. Пароль, естественно, всегда отправляется на сервер в открытом виде. Там, перед хешированием и солением он в plaintext'е отправляется тебе на почту. Учите мат. часть.
раскрыть ветку (9)
Пароль в открытом виде на почте - дополнительный шанс его компрометации, если кто-то взломал почту (неважно как) / проходил мимо и глянул в монитор
поучите для начала сами: никогда нельзя отправлять пароль на почту. Тот, кто взломает почту, узнает пароль, и хозяин ничего об этом не узнает
раскрыть ветку (2)
раскрыть ветку (4)
что бы захешировать на сервере нужно написать одну строчку. Что бы шифровать на машине пользователя надо писать яваскрипт плагин
раскрыть ветку (2)
раскрыть ветку (1)
Хотя не. Смысла в чистом мд5 маловато, поэтому нужна соль, а если добавлять соль на стороне браузера, то она станет бесполезной.
раскрыть ветку (1)
Насчёт большинства не знаю, но иногда такие попадаются. Отправляешь запрос на восстановление пароля, а тебе на почту херак - вместо ссылки для восстановления приходит твой пароль открытым текстом.