25 января 2008 в 11:34
OpenID логится на том же сайте, где и регился, так что там всеё прозрачно. А вот в Drupal пароль POST' ится в чистом виде.
Чисто теоретический вопрос. Насклоько сложно владельцу сайта поиметь мой пароль когда я вхожу с логином с другого сайта - как например у меня здесь?
Если нет доверия к сайту можно ли на нем логиться распределенно, например для написания вот такого сообщения?
Мое мнение такое, что упереть пароль можно поправив user.module. И получать все новые пароли на почту. Тогда вопрос: какой смысл в этой фиче?
Ведь сказав почту при регистрации я всего лишь получаю ещё спама, а вот залогившись у фишеров я теряю репутацию этого логина плюс получаю злоумышленника со всеми своими привилегиями.
Комментарии
Паранноя. Имея доступ к php типу ноды можно легко вытянуть всю таблицу user-ов и методом грубой силы подобрать к MD5 хешам пароли. Да проще - задать себе любые права и привелегии. А все, что передается по открытым каналам - можно легко проснифить.
Прочитаете описание OpenID, многое проясниться
Значит ТАК вряд-ли Вы бы стали заморачиваться?
А вот доступ к PHP - это да. Это только по FTP и для uid==1
А без этого php можно "дать себе всё"?
Я не большой специалист по безопасности - поэтому не стал бы...
Зачем ftp? Дате себе все можно, примерные примеры "на живом": http://www.drupal.ru/node/10422
ну да, сам так игрался недавно.
http://www.drupal.ru/node/11102
Но ведь это сначала надо зарегиться и дать себе "php mode"
Или я что-то такое пропустил?