Passwort als MD5 ohne Salt im Cookie


Seite: 1
Autor Beitrag
SammysHP
24.11.12 - 12:53:46 Uhr

Tja, wie der Titel schon sagt - bei Pytal wird das Benutzerpasswort im Cookie gespeichert. Zwar als MD5-Hash (ach, der ist ja auch soooo sicher ), aber ohne Salt!

Sollte also jemand meine Cookies auslesen können, kann er in Ruhe ein passendes Passwort finden.

Keine Ahnung, warum das niemandem aufgefallen ist. Es wäre schön, wenn das zeitnah korrigiert werden könnte.

_________________
www.sammyshp.de
SammysHP
26.11.12 - 19:49:03 Uhr

*push*

Ist euch eure Sicherheit so egal?

_________________
www.sammyshp.de
tussi
27.11.12 - 07:16:44 Uhr

Falls das nun wirklich so ist, dann wäre es schön, wenn sich schnellstmöglich darum gekümmert wird.
Achtzig
27.11.12 - 08:16:47 Uhr

Ist so wie SammysHP es schrieb.

Ich bin dann mal schnell wieder draußen, damit der Cookie gelöscht wird
Ditti4
27.11.12 - 18:20:31 Uhr

Ich zitiere mich mal eben selbst:

Negativ: Die Daten, die beim Login gesendet werden, werden unverschlüsselt gesendet. Das heißt, dass sowas zum Beispiel im Wireshark-Log landet:
usr=ditti4&pwd=****&auto=2419200&btnlogin=Login


Ist also nicht der einzige Negativpunkt.
Mein Zitat hab ich jetzt nicht nochmal auf Aktualität geprüft, könnte aber eventuell noch zutreffen.
SammysHP
27.11.12 - 19:16:14 Uhr

Da hier schon ewig nichts mehr gemacht wurde, denke ich, dass sich da auch nichts geändert hat.

_________________
www.sammyshp.de
SammysHP
30.11.12 - 14:37:08 Uhr

*push*

_________________
www.sammyshp.de
Seite: 1

- Obige Beiträge stellen keine Äußerung oder Meinung von Pytal oder dessen Betreiber dar -