Quindi, questa grande azienda nota (avete sentito tutti) sta inviando stringhe cifrate md5 (con GET key: password) su HTTP.
L'ho accidentalmente rilevato poiché volevo utilizzare jnlp su una macchina non Windows. E io sono curioso È per definizione insicuro lavorare in questo modo, o può essere sicuro quando si usa SALT e altre cose allo stesso modo?
L'URL è simile a questo: url / folder / page /? login = [USERNAME] & password = [MD5-String] Questo URL è anche memorizzato nel corrispondente file .jnlp.
Ho cancellato la mia password per MD5 e non è uguale alla password nell'URL.
Innanzi tutto, sono curioso. Non ho le capacità per sfruttarlo (se possibile) e non voglio nemmeno sfruttarlo. Se voi ragazzi pensate che dovrei avvisare la società in questione: lo farò.
Grazie!