В моей квартире я подключаюсь к частной сети WiFi, управляемой зданием. Чтобы подключиться к Интернету, мне нужно войти в систему через веб-страницу, обслуживаемую сервером интрасети.Возможная небезопасная логина
Из интереса к тому, что мой браузер не просит меня сохранить мое имя пользователя и пароль, я решил посмотреть источник, чтобы узнать, как это делается. При этом, я наткнулся на какой-то странный код JS, который компилирует пароль с тем, что, как представляется, соль, а затем преобразует его в hexMD5:
password = hexMD5(
'\360' +
document.login.password.value +
'\123\076\310\204\336\276\065\360\375\311\365\076\031\311\360\117'
)
Если пароль будет соленая и хэшируются так, конечно, то же самое будет нужно сделать на сервере, что означает, что мой пароль сохраняется в виде обычного текста? Я мог ошибаться в этом, но я не вижу другого пути.
Любое понимание этого было бы очень полезно, и, пожалуйста, дайте мне знать, если этот вопрос больше подходит для другого сайта SE.
Я бы сказал, что этот вопрос будет более целесообразно размещен на http://security.stackexchange.com/ – George
@George, спасибо - должен ли я удалить этот и переместить его, или было бы лучше, если бы модератор переехал? –
Uhm ... не более вероятно, что сервер хранит хешированную версию пароля вместо хранения версии открытого текста и хэширования ее во время каждой попытки входа? Несмотря на это, мы не знаем, что сервер делает или не делает, и как (в) это безопасно. – deceze