eshpilen
شنبه 09 مرداد 1389, 21:01 عصر
من یه موردی رو چند روز پیش توی سایتی دیدم (متاسفانه سایتش یادم نیست). فکر کنم این مورد در سایتهای دیگری هم باشه که شاید بتونم نمونه هاش رو پیدا کنم.
اون مورد هم اینه که وقتی توی سایت لاگین هستی و میری به صفحهء لاگین، جای پسورد از قبل پر شده، و وقتی سورس صفحه رو نگاه کردم، پسورد بصورت Plain Text در قسمت value فیلد پسورد درج شده!
بنظرم این یک ضعف امنیتی جدی میتونه باشه. پسورد کاربران رو حتی سمت سرور هم بصورت Plain Text نباید ذخیره کرد، چه برسه به سمت کلاینت.
بعضی سایتها هم از روش ظاهرا مشابهی استفاده میکنن، اما بنظرم اونا درواقع پسورد اصلی کاربر رو در فیلد پسورد قرار نمیدن، احتمالا یک Login Key هست یا یک رشتهء شناسایی خاص دیگری. شایدم اصلا اون فیلد پسورد از قبل پر شده فقط یه حالت نمایشی داشته باشه که کاربر متوجه بشه نیازی به پر کردن نام کاربری و کلمهء ورود خودش نداره. البته میشه فرم ورود رو کلا برداشت، ولی شاید علت بودنش اینه تا کاربر بتونه بدون لاگ آوت کردن، با اکانت دیگری لاگین کنه.
اگر کسی در اینمورد اطلاع بیشتری داره به بنده هم اطلاع بده لطفا.
اون مورد هم اینه که وقتی توی سایت لاگین هستی و میری به صفحهء لاگین، جای پسورد از قبل پر شده، و وقتی سورس صفحه رو نگاه کردم، پسورد بصورت Plain Text در قسمت value فیلد پسورد درج شده!
بنظرم این یک ضعف امنیتی جدی میتونه باشه. پسورد کاربران رو حتی سمت سرور هم بصورت Plain Text نباید ذخیره کرد، چه برسه به سمت کلاینت.
بعضی سایتها هم از روش ظاهرا مشابهی استفاده میکنن، اما بنظرم اونا درواقع پسورد اصلی کاربر رو در فیلد پسورد قرار نمیدن، احتمالا یک Login Key هست یا یک رشتهء شناسایی خاص دیگری. شایدم اصلا اون فیلد پسورد از قبل پر شده فقط یه حالت نمایشی داشته باشه که کاربر متوجه بشه نیازی به پر کردن نام کاربری و کلمهء ورود خودش نداره. البته میشه فرم ورود رو کلا برداشت، ولی شاید علت بودنش اینه تا کاربر بتونه بدون لاگ آوت کردن، با اکانت دیگری لاگین کنه.
اگر کسی در اینمورد اطلاع بیشتری داره به بنده هم اطلاع بده لطفا.