Czasami bawi mnie to, jak ludzie ekscytują się oczywistymi oczywistościami. Czy wiecie, że hasła zostają w pamięci przeglądarki? Na dość długo. Zgroza, co robić, jak żyć?
...i w tym momencie pojawiają się pomysły typu "salted hashes" i tym podobne dziwolągi powodujące efektywnie to, że nawet jeśli po stronie serwera hasła przechowywane są w postaci hasha, to w praktyce równie dobrze mogłyby być przechowywane w postaci jawnej, ponieważ tego hasha można użyć bezpośrednio. Można natknąć się również na dość ciekawe rekomendacje, z których wynika, że możliwe jest porównanie MD5(salt + MD5(password)) z MD5(salt + SHA2(password))! Mało tego, niekiedy ta "straszna dziura" jest "łatana", tylko nie tak, jak powinna być.
Jeśli realna jest sytuacja, że z aplikacji użytkownicy będą korzystać z niezaufanej, współdzielonej stacji, a aplikacja jest ważna, należy użyć multifactor authentication, a nie bawić się w zaciemnianie hasła bo to zaciemnianie hasła nie zadziała na trywialnego keyloggera czy złośliwe rozszerzenie do przeglądarki.
Czy coś zmieniło się przez lata? Tak. Obecnie większość przeglądarek używa więcej niż jednego procesu, więc czasami trudno się zorientować, pamięć którego z procesów należy zrzucić. Jeśli dla kogoś jest to zaskoczeniem - polecam pobawić się zrzutami pamięci przeglądarki i sprawdzeniem jakie stringi z nich można wydobyć i przez jak długi czas.
