OTK: Jinymi slovy, pokud to neni high-security prostredi, tak heslo vesele mailuj a umozni ho userum zmenit (ani bych to nevynucoval). Je to bezna praxe to tak delat. Pokud jde o penize ci tajna data, tak je to samozrejme neco jineho, ale pokud to je bezny webovy projekt, tak bych to vubec neresil. Kdo ma zajem o bezpecnost, tak si to heslo rychle zmeni, a pokud dotycnemu nabidnes moznost loginu pres https, jak tady doporucili kolegove, tak je to dostatecne. Samozrejme, aby to bylo perfektni, chce to mit moznost overeni certifikatu, tj. mel by byt bud od uznavane autority¸ nebo by aspon mela byt moznost si ho overit jinak. Ale beztak 99% uzivatelu odklikne varovani, ze je certifikat podezrely. 1% si mozna i bude stezovat. Vsechno to je proste o tom, jakou bezpecnost vyzadujes ty a jakou bezpecnost vyzadujou uzivatele, a podle toho se nastavuji opatreni.
Bredy: A proto se tyhle utoky deji u koncu, protoze je to proste nejjednodussi. Ale rozhodne to neni zanedbatelny tak, ze reknes, ze 'ten utok je slozity provest' a tim padem se tim nebudes zabyvat. Ano, zabyvat se nejakym sniffingem na pateri asi nema cenu, zaprve se to technicky spatne realizuje (odposlech optickych vodicu a podobne obskurni techniky), zadruhe je tam tech dat proste moc. Ale sniffing u koncu je realny a docela masivni problem. Hlavne s dnesnim rozmachem mestskych a komunitnich bezdratovych siti to muze znamenat docela problem. |
Registrace nového uživatele 
