Заметил, что при аутентификации на форуме логин и пароль передаются в открытом виде POST-запросом по HTTP (без шифрования). Это очень плохая практика, поскольку их легко перехватить. Так, если человек сидит через публичный WiFi, его логин и пароль может увести кто угодно поблизости, не говоря уж о владельце WiFi-точки и провайдере. Учитывая, что многие используют одинаковые логин и пароль на многих сайтах, это серьезно угрожает безопасности участников форума.
Починить это должно быть легко, достаточно отправлять POST-запрос не на
http://prokofe.ru/login.php
а на
https://prokofe.ru/login.php
(через HTTPS). Странно, что это не исправлено, учитывая, что браузер ругается при каждом логине.
Ankor: в целом то да, но вы допускаете несколько ошибок ранее, от которых https не спасет многие используют одинаковые логин и пароль на многих сайтах - это очень плохая практика, так как нельзя гарантировать защищенность базы пользователей, сливы были и у дропбокса и других достойных ресурсов, что уж говорить про нишевый форум. если человек сидит через публичный WiFi если вы сидите через публичный открытый вайфай и соединение у вас не настроено через vpn - считайте что все что вы передаете доступно любому окружающему.
С чего вы взяли, что я говорю о себе? Есть простейшие меры, позволяющие защитить приватность всех посетителей, в независимости от того, насколько они разбираются в IT, и нет оправданий для того, чтобы их не использовать. Утечки вконтакте или дропбокса — плохое оправдание, чтобы не солить пароли в базе, например. Если человек сидит через публичный WiFi и элементарно не знает, что такое VPN, всё равно он прекрасно защищен, если ресурс работает через HTTPS — а это сейчас де-факто норма.
Форум этот, кстати, работает же через HTTPS, просто форма логина использует с какого-то перепугу абсолютные URI, ссылающиеся на HTTP.
Ankor: а с чего вы взяли что я говорю о вас? я о том неком абстрактном пользователе, у которого одинаковый пароль на всех ресурсах и который сидит через открытые точки доступа. Его https не спасет. Причем тут соли в базе, если ресурс сам может сливать пароли. HTTPS — а это сейчас де-факто норма. - это всего лишь с подвижки некоторых корпораций.
Многие знают, что я фанат Аэропресс. Поэтому, очень долго откладывал в самый дальний ящик покупку данного устройства. Зачем кому-то нужен клон Аэропресса? Однако, на деле оказалось, хоть эти устройства и похожи, у Дельтер Пресса есть свои особенности. Покупать Дельтер Пресс рекомендую в случае, если уже всё есть. На этом можно было бы закончить статью, но давайте разберемся, почему эта кофеварка не только красивый кусок китайского пластика с австралийским акцентом, но имеет огромный потенциал.
Сейчас разгар отпусков и лета 2019 года, я сижу в кофейне, где-то между Австрией, Венгрией и Чехией, пью колд-брю и решил написать для нашего прекрасного русско-язычного кофейного комьюнити, что я думаю по этому поводу и какие основные два метода заваривания доступны для обычного человека. Тем более, что у Sweet Beans Coffee на складе в Краснодаре появился удивительный PUCKPUCK, который теперь всегда со мной.