Grzegorz Stanislawski wrote:
Smiac mi sie chce z tego calego Security Release bo przechowywanie golych hasel w bezpiecznym miejscu nie jest problemem. W koncu jedynym userem majacym dostep do bazy moze byc (i powinien) specjalny user nazwijmy go lms. I o ile frontend strony nie udostepnia mechanizmu pozwalajacego na swobodne tworzenie kwerend, nikt do tych danych nie dotrze. Idiotyczne jest natomiast to ze w tabeli users hasla sa kodowane a w tabeli sesji nie.
Teraz już nie są w sesji wogóle przechowywane, więc chyba dobrze że zostało to poprawione. Jak dodać do tego, że sesja była zapisywana w lmsowym backupie, no to masz już dwa miejsca z których potencjalnie można było to hasło odczytać. Jeżeli miałeś dobrze zabezpieczoną bazę i system plików, to ok. Ale nie zaprzeczysz chyba, że jednak było to załatanie potencjalnych dziur? A dziury w kernelu o których czasem się słyszy? To też w większości przypadki, które mogą być wykorzystane tylko w określoonych warunkach. To że masz starszy kernel (programy) nie znaczy, że zaraz ci się włamie pierwszy lepszy haker.