News Feed

Když jsme s Marcel Sulek upozorňovali vývojáře systému v Economii na to, že ukládat uživatelská hesla v plaintextu není dobrý nápad a je potřeba to ASAP změnit, tak jsme se dozvěděli, že změna se dělat nebude, protože na to není "byznyskejs".

Ale třeba by se našel teď, když si ukládání v plaintextu vyzkoušel i známý bezpečnostní expert Michal Špaček.

Anebo počkáte, až si někdo ta hesla vytahá a pověsí na PasteBin?

Neohrožujete svůj byznys. Ohrožujete přímo bezpečnost vašich zákazníků!

//cc Filip Rožánek, Milos Cermak

Michal Špaček

Ach jo, iHNed.cz ukládá hesla uživatelů v čitelné podobě (v plaintextu). Dá se na to přijít jednoduchým trikem - nastavte si heslo třeba na 0010e2 a pak se přihlasíte i pomocí hesla 1e3.

Funguje to proto, že v PHP při porovnávání pomocí == se obojí přetypuje na číslo 1000. Takto jednoduše se tedy dá detekovat ukládání hesel v plaintextu. Pro nějaké weby, které chtějí třeba delší heslo, můžete použít 0x1234Ab (8 znaků, číslo, malá i velká písmena), na takový web se pak přihlásíte pomocí hesla 1193131.

Samozřejmě, pokud se to nepovede, tak to neznamená, že hesla v čitelné podobě neukládají. Mohou třeba používat porovnání pomocí ===, v takovém případě tento trik nefunguje.