Этот слайд очень хорошо объясняет основные различия.
* Из CSE 403 Лекция 16, Университет Вашингтона (слайд, созданный «Марти Степпом»)
Обратите внимание на строки 2 и 3. Для выполнения # 3 Meebo нужен ваш пароль; (если нет какого-либо сотрудничества между поставщиком IM и Meebo (что возможно, но маловероятно)) в какой-то момент между этими строками у него есть ваш открытый текстовый пароль.
Поздравляем, у вас больше нет полного контроля над своей учетной записью IM; что касается службы обмена мгновенными сообщениями, Meebo - это вы.
Другими словами: доверяете ли вы, что Meebo не злоупотребит вашим паролем? Вы доверяете Meebo в защите вашего пароля? Вы верите, что Meebo не будут взломаны, а ваш пароль украден? As far as I see, there's no way to tell (unless you're Meebo, which you're not).
It boils down to this: do you trust Meebo's promises?
Here's my $0.02: Convenient? Check. Horribly insecure? Check.
Oh, and to answer the question in the title: best practice would be "encrypt the password, don't keep the plaintext anywhere (any longer than absolutely necessary)". However, I've seen too many databases with plaintext password fields; some businesses apparently see encryption as waste of effort until Something Really Bad Happens. Does Meebo? I don't have a way to tell.
Да, вы правы. Когда вы даете свое имя пользователя / пароль сайту, любому сайту, вы действительно не знаете / не можете гарантировать, что они собираются с ним делать и как они будут его защищать.
, если у них нет контрактов с каждым из поставщиков, в которых они создают хэш и передают только хеш, им нужно будет хранить вашу информацию.
Здесь они объясняют, как они отправляют данные из браузера на свои серверы; RSA-шифрование в javascript перед отправкой формы.
http://www.meebo.com/security/
РЕДАКТИРОВАТЬ: Пояснение, они не указывают, как они его хранят, но предположительно это двустороннее шифрование, может быть с паролем пользователя в качестве ключа?