Názor k článku
Meta zaplatí pokutu 91 milónů eur za hesla v plaintextu od Mlocik97 - Práveže ak odosiela v textovej podobe tak je...

Práveže ak odosiela v textovej podobe tak je to správne (a ono to vlastne v textovej podobe neposiela, lebo je to SSL šifrované)... ak by hash posielal už priamo prehliadač, tak to znamená že API prijíma hash, takže ak by unikla databáza s hashom, tak by vlastne sa vedel hocikto prihlásiť. Takto je nutnosť z hashu dostať to pôvodné heslo, ktoré APi prijíma. Takto je útok obmedzený len na útok v pamäti servera, čo je najmenšie riziko. Samozrejme tu ale záleží už od alokovaní. Problém je u jazykov s GC, kde nikto nikdy nevie kedy sa objekt uchovávajúci to heslo uvolní.

30. 9. 2024, 15:00 editováno autorem komentáře