Per quanto un colabrodo sia questo forum, sarebbe davvero molto interessante sapere come ha ottenuto le password in chiaro
Posted from Bitcointa.lk - #8MeZaafeMzMka6jcIl forum è in PHP. Quindi tutte le operazioni di crypting della password vengono effettuate server-side. Questo significa che le strade possibili per leggere la password quando è ancora in chiaro sono solo quattro (avrei detto tre fino a qualche giorno fà) :
- da un keylogger sul tuo pc
- sniffando il traffico (ma devi stare in mezzo)
- sfruttare un bug del software, impossessarsi della sessione utente e cambiare subito la password finchè la sessione è ancora valida.
- leggendo il protocollo ssl con il bug, ma solo se qualcuno fà la login in quel preciso istante
Sulla terza non ci metterei la mano sul fuoco, una volta mi è capitato che un mio Moderator sfruttase una falla del genere per darsi diritti di Admin in un mio vecchio forum SMF (solo x giocare, ma c'è riuscito).
Ipotizzando invece che sia la quarta ipotesi, di circa 300k utenti, l' utente che si è trovato al posto sbagliato al momento sbagliato è stato lo zione. Ma chiaramente poteva accadere a chiunque.
Scartiamo anche i bruteforce sulle pass nel DB rubato. Decryptare un password di soli 8 caratteri ci vogliono anni.
FaSan
