To, že ti web pošle heslo, predsa neznamená, že ho má v plaintexte. Typicky pri vytváraní účtu ešte pred vygenerovaním odtlačku hesla, ktoré sa ukladá do databázy, môže web toto heslo poslať na email. Nevidím na tom nič, prečo by som mal niekam utekať…
V databáze môže byť heslo kryptované alebo jeho posolený odtlačok. Rovnako funguje aj posielanie novo vygenerovaných hesiel ak pôvodné heslo užívateľ zabudne. Príde mu na email heslo nové, samozrejme v plaintexte, pričom to ešte nič nehovorí o tom, ako je heslo uložené v databáze.
bavím se o situaci typu kdy vam prijde email typu dobry den vitejte v nasem eshopu bla bla bla vase uzivatelske jmeno a heslo je...
To je spatne protoze ve vetsine pripadu je pak uložené někde v databázi. I ten druhý příklad co jste uvedel je špatně. Heslo se nemá co posílát po http/mailu, jeho hash se má spočítat v browseru a ten pak ať se pošle na server.
Heslo v eshopu je zbytečnost, když máte možnost vrátit zboží do 14 dnů, nic se vám tedy nemůže stát, a nepošlete-li peníze, eshop vám nic nedodá, objedná-li si někdo na vaše jméno, neprokáže, že zboží dodal vám, použití karty k placení autorizujete přes banku a nebo platební bránu, kde jsou nastaveny zcela jiné bezpečnostní standardy. Je-li heslo zbytečné, tak taky nic nehrozí z jeho prozrazení. Tedy pokud nemáte všude stejné heslo. A za to si můžete sám. Používání hesla v eshopech má jen psychologický podtext, je to de facto součást prodejního působení, které má dodat zákazníkovi pocit bezpečí, je to dáno historicky, kdy ještě byla nedůvěra k internetovému obchodování.
Zpětně vám eshop heslo nemůže poslat, protože ho nezná (bez jeho zpětného prolomení), drtivá většina open source eshopů heslo ukládá do db zakódované pomocí MD5, což znamená, že prolomit lze, ale nejde jednoduše přečíst. Takže zpětně vám ho eshop opravdu poslat nemůže. Jedině ve tvaru například 123xal61716112wh1. Protože takto je uloženo v jeho databázi.
ČLÁNKY DO MAILU