Terve.
Rekisteröidyin foorumin käyttäjäksi tuossa reilu viikko sitten ja rekisteröitymisen yhteydessä tervehdysviestin muodossa sähköpostiin kolahti varsinainen ylläri - sekä syöttämäni salasana että käyttäjätunnus selkokielisenä. Tämä viittaisi suoraan siihen, että foorumi tallettaa salasanat selkokielisenä taustalla hyrräävään tietokantaan, joten käyttäjätunnus&salasana-komboihin pääsee suoraan käsiksi tätä kautta.
Kovin suurta velhoa ei tarvita ennustamaan menettelyn aiheuttamaa valtavaa tietoturvariskiä, sekä foorumille itselleen että sen käyttäjille. Suosittelisinkin mahdollisimman ripeästi tutkimaan smf:ssä käytettyjä asetuksia. Mikäli tietokannasta löytyy selkokieliset salasanat, pitäisi käyttäjille luoda esim. generoimalla uudet hashätyt ja saltatut salasanat. Jos huoleni oli väärä ja kannassa on kryptatut salasanat, voisi tuosta mailista ainakin poistaa sen salasanan näkyvistä..
Rekisteröidyin foorumin käyttäjäksi tuossa reilu viikko sitten ja rekisteröitymisen yhteydessä tervehdysviestin muodossa sähköpostiin kolahti varsinainen ylläri - sekä syöttämäni salasana että käyttäjätunnus selkokielisenä. Tämä viittaisi suoraan siihen, että foorumi tallettaa salasanat selkokielisenä taustalla hyrräävään tietokantaan, joten käyttäjätunnus&salasana-komboihin pääsee suoraan käsiksi tätä kautta.
Kovin suurta velhoa ei tarvita ennustamaan menettelyn aiheuttamaa valtavaa tietoturvariskiä, sekä foorumille itselleen että sen käyttäjille. Suosittelisinkin mahdollisimman ripeästi tutkimaan smf:ssä käytettyjä asetuksia. Mikäli tietokannasta löytyy selkokieliset salasanat, pitäisi käyttäjille luoda esim. generoimalla uudet hashätyt ja saltatut salasanat. Jos huoleni oli väärä ja kannassa on kryptatut salasanat, voisi tuosta mailista ainakin poistaa sen salasanan näkyvistä..