Názor ke zprávičce Meta zaplatí pokutu 91 milónů eur za hesla v plaintextu od Jan Hrach - I pak by bylo mírně lepší, kdyby se...

  • 1. 10. 2024 22:39

    Jan Hrach
    Stříbrný podporovatel

    I pak by bylo mírně lepší, kdyby se heslo na druhou stranu neposílalo, protože to rozšiřuje možnosti útoků a úniků. Může dojít k nějaké částečné kompromitaci, která nebude stačit pro zajištění přístupu/perzis­tence (útočník se třeba dostane na jeden z mnoha nodů v load balanceru kde se terminuje TLS -- může přepisovat různé věci v aktuální session ale nemůže dělat úplně všechno a napořád), ale heslo unikne. Nebo k té chybě kdy heslo vypíšete při chybě omylem do logu.