Идиоты среди аудиторов безопасности

>После серии взаимных боданий фирма просто аннулировала контракт с этой процессинговой компанией.

Это радует. Или по блату аудитор пошел, или его надо срочно уволить.

Там наверное контору лицензии (или что у них там) лишать будут, какой уволить :)

По примеру автора, ряд высказываний аудитора захотелось вставить в рамочку и повесить на стену. Например:

I have been in this industry longer than anyone on that site, getting a list of user account passwords is incredibly basic, it should be one of the first things you do when learning how to secure your system and is essential to the operation of any secure server.

> Strong cryptography only means the passwords must be encrypted while the user is inputting them but then they should be moved to a recoverable format for later use.

Чувак соображает.

> список всех пользователей и их паролей обычным текстом;

Вообще, в этом можно увидеть смысл. Если у пользователей пароли из набора по умолчанию, то это имеет непосредственное отношение к безопасности.

Правда хранятся ли они сейчас где нибудь в открытом виде.

>Если у пользователей пароли из набора по умолчанию,
то система должна послать их при задании такого пароля.

Чтобы это выяснить,думаю.достаточно закодировать этот простой набор и сравнить с хэшами из базы

Да мужик взломщик просто.

>и сравнить с хэшами из базы А посолить?

Жаль только он не обнародовал название процессинговой компании.

> После серии взаимных боданий фирма просто аннулировала контракт с этой процессинговой компанией.

== Аудит пройден успешно.

баян :)