Тема: HTTPS
Показать сообщение отдельно
Непрочитано 22.05.2019, 23:27
#31
Luvilla
Windsurfer

Аватар для Luvilla
 
забавное обсуждение...

Цитата:
Сообщение от Skiminok Посмотреть сообщение
Просто так, для информации, вход на форум счас выглядит так:
<form action="login.php?do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5password, vb_login_md5password_utf, 0)">

Никто до ваших паролей не доберется, максимум до их MD5 хэшей.
Это вот... это сильно
правда, без иронии, респект
хотя на самом деле там всё несколько не так... не так безоблачно... но это в данном случае не важно


Цитата:
Сообщение от skat Посмотреть сообщение
Вас не подменяют, потому что с ваших паролей профита ноль. Нафиг кому нужны ваши пароли или логины, здесь не банк-онлайн, что здесь брать?
а это вообще роскошно сказано... потому что это правда

===
есть примерно стопиццот способов хакнуть сайт/форум
и все стопиццот способов валяются в сети, как текстом, так и видеоуроками
и среди них способ "получить пару логин/пароль, расковыряв нешифрованный трафик" примерно на стопиццотпервом месте

Несколько лет назад на одном уважаемом форуме я сподвиглась черкнуть небольшой обзорчик по взломам
Ахрунг: многа букафф! ссылка: http://vbsupport.org/forum/showpost....49&postcount=5
движок там такой же, как здесь, если захотите читнуть весь топик - найдёте, куда нажать, но там особо читать нечего, в той теме

Суть (для тех, кто ниасилил): вероятность того, что даже школохацкер от полного безделья будет выколупывать пару логин/пароль из трафика, предварительно крякнув роутер в макдональдсе и дождавшись, пока туда забредёт тот, кто надумается логиниться на форум, где у него в личке "сенсетив инфа", стремится к нулю. Не храните в личке то, что относится к категории "сенсетив инфа" (потому что отдельный аккаунт, может, и не уведут, но если будет слита база, доступны будут все тексты, как постов, так и ЛС. Речь не об этом конкретном форуме, речь про "вообще").

Взломы и протоколы живут отдельно друг от друга.

Есть смысл переходить на ХТТПС в двух (трёх) случаях:
- если хостер настолько охренел, что пихает свою рекламу при передаче данных, но тогда нужно менять хостера
- если провайдеры делают то же самое, и юзера начинают жаловаться на "левую" рекламу, вот тут деваться некуда, не советовать же юзерам менять провайдера? - тогда, конечно, спасает только ХТТПС
- был в моей практике один случай, когда совершенно отмороженный провайдер, неизвестно чего обкурившись обчитавшись, вообще рубанул весь трафик по http://, никто никуда попасть не мог, открывались только сайты с https://

=====

Цитата:
Сообщение от skat Посмотреть сообщение
Оооо! Похоже начинается моя любимая стадия в обсуждении! Она называется "сейчас пекарь расскажет стоматологу, как отрегулировать опережение зажигания двухтактного дизельного мотора с помощью гугла и википедии"
а я ведь ждала продолжения... тоже обожаю эту тему...
Luvilla вне форума Ответить с цитированием