Sitat av
vidarlo
I så fall er problemet ditt angst, og ikkje mangelen på SSL. For trur du oppriktig at ikkje t.d. NSA kan framtrylle falske, gyldige, SSL-sertifikat om dei vil?
Når Freak ordner SSL burde de ordne HPKP og HSTS i samme slengen, som hindrer dette
Sitat av
vidarlo
...tilsynelatande lagrar passord i klartekst, som er langt verre enn å ikkje ha SSL og oppbevare hash av passord...
Nå skal det sies at Freak visstnok lagrer passord med komisk svake MD5 (+ sikkert salt og kanskje pepper), så om noen får tilgang til databasen har de i praksis tilgang til de aller fleste passordene i klartekst ved å la en bruteforcing kjøre i max noen dager.
Sist endret av kris33; 21. april 2016 kl. 01:22.
Grunn: Automatisk sammenslåing med etterfølgende innlegg.