Dopo aver completato la procedura di configurazione guidata account per un nuovo servizio di hosting SiteGround, ho ricevuto questa schermata di conferma sul sito Web:
... just log in to your Wordpress control panel with the details below:
Admin URL: XXX
Username: XXX
Password: XXX
Al posto di XXX
, c'erano in realtà il mio nome utente e la password in testo semplice.
Questo è stato consegnato in una nuova pagina su HTTPS; l'HTML della pagina contenuta:
<p><span class="bold">Username:</span> XXX</p>
<p><span class="bold">Password:</span> XXX</p>
Da ciò deduco che non utilizzano l'hashing della password sul lato client. Ero sorpreso; Ho pensato che fosse normale prassi industriale per i servizi sensibili. Non è il caso?
A prescindere da quanto sopra, c'è qualche problema di sicurezza con la visualizzazione della password a me in chiaro? (Suppongo che in realtà non lo salvino in un semplice database in un database - sarebbe atroce, presumibilmente, rimane solo in memoria del loro server web, mentre sta preparando la risposta alla mia richiesta POST, spero che sia hash / salato prima di essere salvato in qualsiasi archivio persistente).
Nota: NON includevano la password in testo semplice nella conferma dell'email; solo su una singola pagina web che è disponibile solo subito dopo la mia iscrizione.