Wpis z mikrobloga

@wkrk: Ciekawe jakie długie hasła wpisał ten Mirek co założył 500k kont.

@wkrk: Haseł się nie trzyma w bazie (no chyba, że pisali to amatorzy co jest możliwe w przypadku prawaków).

@wkrk: E liczyłem na jakieś dzieła Lenina w jednym PDF ( ͡° ͜ʖ ͡°)

@scriptkitty: Lewaki w ogóle nie trzymają haseł bo wszystko powinno być wspólne ( ͡° ͜ʖ ͡°)

@Piterowsky: Każdy komunista to lewak, nie każdy lewak to komunista. Ja jestem lewakiem i zwolennikiem wolnego rynku ale nie oszołomstwa religijnego.

@scriptkitty: Jak już generalizujemy to generalizujemy, czy lewaka nie można generalizować a prawka tak? ( ͡° ͜ʖ ͡°)

@Piterowsky: Fair enough.

@wkrk: to że dostępy do bazy są w pliku to akurat nic dziwnego. Przecież tak działa większość frameworków, czy nawet systemy ecommerce na którym stoją naprawdę duże sklepy. Tylko że te pliki muszą być zabezpieczone przed dostępem z zewnątrz, czego tu akurat zabrakło

@wkrk: Ten mem idealnie pokazuje, ze wykopowi programiści 15k zarabiaj te 15k w przeliczeniu na stare polskie złote xD

@wkrk: @rafal366: Ale właściwie jeśli te hasła miałyby nie być w pliku konfiguracyjnym to gdzie? W jakimś systemowym menadżerze uwierzytelnień? W TPM? Ktokolwiek takie rzeczy w systemach małej skali (nie oszukujmy się, to nie Facebook ( ͡° ͜ʖ ͡°) ) w ogóle robi?

@sredni_szu: dobre pytanie ¯\_(ツ)_/¯ Ja nie spotkałem się jeszcze z innym podejściem niż po prostu plik php i nie mówię tu o jakichś małych stronkach, tylko o sklepach które dziennie sprzedają za dziesiątki-setki tysięcy zł

@rafal366: @sredni_szu: zmienne środowiskowe

@swagerstom: To też jakaś opcja, ale mając dostęp do całego systemu plików i do kodu aplikacji możesz wydedukować, że aplikacja bierze dane ze zmiennych i wyciągnąć z systemu skrypty startowe, w których te zmienne zapewne będą zdefiniowane.

@sredni_szu: ZAWSZE są jakieś opcje do włamu, ale całe te security polega właśnie na tym, żeby jak najbardziej to utrudnić i wydłużyć w czasie ;)