Comments 16
Гугл беспощаден
+9
Еще один разработчик, который не учел возможность индексирования поисковиками конфиденциальной информации
PS: Не елочки, а типографские кавычки.
PS: Не елочки, а типографские кавычки.
0
Хакеры с античата говорят вам спасибо.
Зря вы это… :)
Зря вы это… :)
+7
твою мать, сколько нубов щас полезет интернет ломать
+18
Нельзя такое в паблик кидать.
+13
Вот потому я и сразу говорю заказчикам что на**й ихнюю цПанель, плеск и еже с ними.
0
Не в этом дело, дело в безалаберности хостеров, что такого типа лог файлы индексируются.
+3
Дело как раз в этом.
Как говорил один человек, «знает один — это тайна, знают двое — это секрет, знают трое — публичное достояние».
Дак вот, идентификационные данные — это секрет, который должен быть известен только пользователю и идентифицирующему сервису. Строго говоря, идентифицирующему сервису он тоже не должен быть известен, но он должен иметь возможность математически удостовериться в корректности идентификационных данных (на практическом языке — хранить хэш).
В данном случае нарушен базовый принцип безопасности: после ввода секрета идентификационный сервис оперирует данными в открытом виде, то что он вывел их на заключительном этапе говорит, что он их где-то подсохранил. В памяти, в файлах или базе — это несущественно.
Как говорил один человек, «знает один — это тайна, знают двое — это секрет, знают трое — публичное достояние».
Дак вот, идентификационные данные — это секрет, который должен быть известен только пользователю и идентифицирующему сервису. Строго говоря, идентифицирующему сервису он тоже не должен быть известен, но он должен иметь возможность математически удостовериться в корректности идентификационных данных (на практическом языке — хранить хэш).
В данном случае нарушен базовый принцип безопасности: после ввода секрета идентификационный сервис оперирует данными в открытом виде, то что он вывел их на заключительном этапе говорит, что он их где-то подсохранил. В памяти, в файлах или базе — это несущественно.
0
Sign up to leave a comment.
Hascgi y или пароли в открытом доступе