Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:rbdihf$qt8$1$P...@n...chmurka.ne
t...
W dniu 2020-06-05 o 14:37, J.F. pisze:
>>> Dlaczego?
>>> Przy założeniu, że przeglądarka jest tak zrobiona, że nie wypuści
>>> hasła.
>
>> Ale nie jest ... choc istotnie mogla by byc.

>Ja po prostu nie znam się na tym. Zakładałem, że takie dostępne
>ogółowi ludzi rzeczy są zrobione 'dobrze' i jakby były zrobione 'źle'
>to byłoby o tym głośno.
>To, że hasło nie wychodzi poza mój komputer wydawało mi się oczywistą
>oczywistością i dlatego nie przyszło mi nawet do głowy poddać to w
>wątpliwość.

A tymczasem "password" w takim podstawowym HTML oznacza jedynie, ze w
czasie wpisywania znaki sie nie pokazuja
https://www.w3schools.com/tags/att_input_type_passwo
rd.asp

No i przegladarka przechowuje te hasla, i wcale nie zahaszowane
jednostronnie, wiec masz kolejna dziure w bezpiecenstwie.

>>>> Albo nie przejmuja, tylko zakladaja :-)
>>> Co im to da, jeśli przeglądarka nie wypuści hasła.
>> No, beda mogli sobie zgromadzic wiele odpowiedzi na rozne salty.
>> i moze podpasuje im do jakiegos innego systemu ... choc jak salt
>> bedzie dlugi, to moze byc wystarczajaco niemozliwe.

>Powinno być wystarczająco niemożliwe. Poza tym salt może też być dla
>każdego klienta inny, generowany na podstawie jakichś danych danego
>sklepu i jawnego loginu klienta.

Tylko, zeby sie nie okazalo, ze zawsze taki sam, to mozna podsluchac i
uzyc w przyszlosci.

Dodatkowe szyfrowanie przez HTTPS powinno temu zapobiec ...

J.