Bezpieczeństwo na serwerze

[Vogel]

Dlaczego serwis ENH:
- nie szyfruje / miesza haseł uzytkownikow i przechowuje je na serwerze w formie jawnej?! i dlaczego ja jako uzytkonwik nie jestem o tym informowany?!
- dlaczego (co już jest naprawde karygodne) na stronie edytuj profil PODANE JEST MOJE HASŁO W FORMIE JAWNEJ?! (wystarczy zajrzec do "zrodlo strony"). to w polaczeniu z autologowaniem (ktore domyslnie jest wlaczone) oraz NIE uzywania polaczen szyfrowanych SSL to olbrzymia dziura/luka bezpieczenstwa!!!

[Strator]

1. powodów jest kilka, wynikają to przede wszystkim ze specyfiki innych systemów z którymi portal ENH się integruje. Bardzo chcieliśmy uniknąć jawnego przechowywania haseł w bazie danych, mamy nadzieję, że wkrótce będzie to możliwe.
2. Naszym zdaniem nie jest to żadna luka w bezpieczeństwie. Autologowanie nie przechowuje hasła w formie jawnej - jest zrealizowane bardziej wyrafinowaną metodą. Używanie SSL nic by tu nie zmieniło. Nie odnotowaliśmy przypadku włamania się na czyjeś konto czy przechwycenia hasła.

[notbear1]

Właśnie miałem utworzyć nowy wątek o tym problemie, ale ze zdumieniem odkryłem ten. Na dodatek wygląda na to, ze macie świadomość problemu i przez 3 lata niewiele się nie zmieniło:
- hasła w bazie dalej są przechowywane jawnie.
- brak ochrony kryptograficznej: wrażliwe dane, w tym hasło użytkownika są przesyłane jawnie protokołem HTTP zarówno podczas logowania jak i każdego wyświetlenia/zmiany profilu.