В зашифрованном виде форум хранит только пароли (а точнее - хеш, получаемый сверткой пароля с логином и еще с чем-то), тогда как личная переписка не шифруется, а потому может быть прочитана при наличии доступа к базе данных.
Я это вижу уже по протоколу сетевого адреса.
Тогда как "брешь в безопасности и конфиденциальности" абстрактной не бывает, а всегда явно подразумевает, от какого рода атак следует защищаться.
Пока что я вижу, что ЛС на этом форуме для обмена конфиденциальной инфой пользоваться не стоит.
здесь невозможно ничего придумать, чтобы защитить пациента от хирурга
Я это уже понял: хирург-админ имеет доступ ко всему, до чего дотянутся его рученьки, вплоть до ЛС.
досаждают случаи, когда у пользователя перестает подходить пароль.
Скорее всего, это снова происки админа. Ну не может слететь только пароль, сохраняя всё остальное.
этот баг чаще всего встречается среди недавно зарегистрированных пользователей, тогда как у ветеранов форума такого обычно ни бывает.
У Сони слетал, хотя она ветеран форума. Полагаю, не без участия того же админа. А у новичков слетает чаще, потому что через ЛС нужно понять, чем дышит человек, не является ли он бармарастом, тайно проникшим на форум, и всё такое.
Вот и приходится мне делать бэкдор для доставания паролей
То есть элементарная функция "Забыли пароль?" здесь не фурычит? В таком случае должна помочь повторная регистрация под ником2 или ником3, но уж никак через доступ к паролям юзеров. Нехорошо это.
