Кража пароля при распределшенной авторизации

Главные вкладки

Аватар пользователя fasdalf@fasdalf.ru fasdalf@fasdalf.ru 25 января 2008 в 11:34

OpenID логится на том же сайте, где и регился, так что там всеё прозрачно. А вот в Drupal пароль POST' ится в чистом виде.
Чисто теоретический вопрос. Насклоько сложно владельцу сайта поиметь мой пароль когда я вхожу с логином с другого сайта - как например у меня здесь?
Если нет доверия к сайту можно ли на нем логиться распределенно, например для написания вот такого сообщения?
Мое мнение такое, что упереть пароль можно поправив user.module. И получать все новые пароли на почту. Тогда вопрос: какой смысл в этой фиче?
Ведь сказав почту при регистрации я всего лишь получаю ещё спама, а вот залогившись у фишеров я теряю репутацию этого логина плюс получаю злоумышленника со всеми своими привилегиями.

Комментарии

Аватар пользователя PVasili PVasili 25 января 2008 в 12:28

Паранноя. Имея доступ к php типу ноды можно легко вытянуть всю таблицу user-ов и методом грубой силы подобрать к MD5 хешам пароли. Да проще - задать себе любые права и привелегии. А все, что передается по открытым каналам - можно легко проснифить.
Прочитаете описание OpenID, многое проясниться

Аватар пользователя fasdalf@fasdalf.ru fasdalf@fasdalf.ru 25 января 2008 в 12:57

Значит ТАК вряд-ли Вы бы стали заморачиваться?
А вот доступ к PHP - это да. Это только по FTP и для uid==1
А без этого php можно "дать себе всё"?