On Sunday 21 August 2005 00:16, Grzegorz Stanislawski wrote: ...zip....
Smiac mi sie chce z tego calego Security Release bo przechowywanie golych hasel w bezpiecznym miejscu nie jest problemem. W koncu jedynym userem majacym dostep do bazy moze byc (i powinien) specjalny user nazwijmy go lms. I o ile frontend strony nie udostepnia mechanizmu pozwalajacego na swobodne tworzenie kwerend, nikt do tych danych nie dotrze. Idiotyczne jest natomiast to ze w tabeli users hasla sa kodowane a w tabeli sesji nie.
jestem pijany, ale zrobie Ci niespodzianke misiu. otoz kazdy loozer ktory ma konto na twoim serwerze, i moze sobie wystawiac stronki www to ma twoje sekretne haslo do lmsa :-), taki detal ;) Widze ze na bezpieczenstwie znasz sie jak na bazach danych....
A mi chodzi tylko o to co napisalem w pierwszym mailu: skoro temat sesji wrocil na tapete to jest to dobra okazja zeby zwocic uwage na to co pisalem w pierwszym mailu.
Zawsze jak czytam takie posty przpomina mi sie historia pewnego admina ktory uslyszawszy o paru exploitach na setuidowane programy zrobil sobie find / -perm +s -exec chown u-s {} ; i pozegnal sie z systemem na pare dni a potem z praca.