Seguendo la violazione di avast: forum.avast.com hanno deciso di ospitare il database [email protected]. La mia domanda è, che senso ha ospitare esternamente il database dal momento che quando si ottiene l'esecuzione del codice remoto su forum.avast.com (che ha accesso al database ospitato su id.avast.com) si può quindi rubare il database comunque? È così che nessun dato viene perso / distrutto?
Stanno usando id.avast.com come provider di autenticazione, non solo come database esterno. Quindi RCE non ti dà accesso (supponendo che si tratti di una macchina host diversa), SQLi certamente non lo fa, e dal momento che si trova su un dominio diverso (origine), nemmeno XSS. Ora hanno notevolmente isolato gli hash delle password dal software del forum.
L'utilizzo di un provider di autenticazione è molto diverso dal semplice spostamento del database su un altro host. (E considera anche che ci sono molte altre minacce oltre a RCE.)
Leggi altre domande sui tag authentication passwords network web-application