Sono uno stagista estivo diventato dipendente a tempo pieno. Per farla breve, lo sviluppatore principale del progetto che ho internato alla chiusura, e dato che sono l'unica altra persona che conosce il progetto, mi è stata assunta a tempo pieno per mantenerla.
Ad ogni modo, mentre spuntavo il programma, ho scoperto che - caricando uno specifico strumento di amministrazione - il server invia al client un pacchetto JSON contenente:
La mia domanda: Quale possibile motivo potrebbe esserci per inviare al client una sessione salt?
Il mio background di sicurezza sta guardando alcuni talk di Defcon per ammazzare il tempo, quindi non sono un professionista, ma da quello che so sali e hash sono qualcosa che dovresti proteggere con la tua vita. So anche che tutto ciò che viene inviato su una rete è fondamentalmente non protetto. Inoltre, l'unico posto in cui questo sale viene usato clientide è un campo di testo su quello strumento di amministrazione che mostra semplicemente il sale.
Quindi che motivo c'è perché questo sia inviato all'utente? Dovrei modificare il server in modo che non invii il sale?