David skriver om livet som egenföretagare, goda vanor, mac, ruby on rails, smarta lösningar och andra sporadiskt påkomna saker
måndag 13 augusti 2007
Blocket lagarar lösenord i klartext
Om du någon gång skulle få för dig att annonsera ut en tjänst på blocket kan det vara bra att veta om att de lagrar ditt lösenord i klartext. Om de någon gång skulle bli hackade eller råka anställa en oärlig person kan det hända att de kan använda lösenordet för att logga in på någon annan sida, ta över ditt MSN-konto eller läsa din e-post. Att lagra lösenord på det här viset är alltså ett stort misstag av Blocket.
Du kan skydda dig genom att alltid använda olika lösenord till olika sidor, vilket innebär att även om en sida blir hackad kommer hackaren inte in på övriga sidor där du är medlem.
Ett par av de sidor jag gjorde i början av min karriär, låt oss säga fram till sekelskiftet, lagrade lösenord i klartext. Jag visste inte bättre då. Nuförtiden har vi aldrig lösenorden i klartext i databasen, istället använder vi oss av hashning och salt. Jag har även stött på det här på andra håll. Företaget GCAD lagrar lösenord i klartext i sin webbapplikation som bland annat används av Friluftsfrämjandet och Svenska Kyrkans Unga.
Prenumerera på:
Kommentarer till inlägget (Atom)
Inga kommentarer:
Skicka en kommentar