Senha do fórum é gravada em Text/plain?

[lucasarruda]

Acabei de me cadastrar e recebi um email.

Nele tinha meu login e minha senha em text/plain!
O fórum guarda a senha no banco de dados em text/plain? Não usa nenhuma criptografia não???

Se for esse o caso, to assustado com o descaso....

[agente100gelo]

Eu acredito que não. Pode-se gerar um e-mail e gravar no banco criptografado.

Utilizamos este sistema:
http://www.simplemachines.org/

Se quiser pesquisar...

[lucasarruda]

Eu acredito que não. Pode-se gerar um e-mail e gravar no banco criptografado.

Utilizamos este sistema:
http://www.simplemachines.org/

Se quiser pesquisar...

Fiquei tão cismado com a possibilidade que baixei o código antes mesmo de você postar aqui.
Olhei e vi que o processo de inscrição é feito no arquivo smf/sources/Subs-Members.php .

Vi realmente que a senha armazenada no banco de dados usa salt para criptografar a senha.
Beleza quanto a isso. Na linha 817 do código o arquivo manda um email com a senha (previamente
armazenada em um array - $regOptions) e essa senha que vai para o email não é a mesma do BD,
mas é a mesma em texto plano.

Sei que sou um pouco exagerado com segurança, mas odeio receber senha em texto plano para
o email. Compromete todo meu conteúdo do email. Não que eu não possa guardar coisas importantes
lá, mas não é bacana o que algumas listas de email fazem e o que o SMF faz também.

Vou sugerir a equipe deles que não envie a senha de cadastro, pois a própria pessoa que poe. A
não ser no caso em que a pessoa não preenche e o sistema gera ( sim, o script faz isso ).
Mas não sendo o segundo caso, acho que é desnecessário, a não ser que pedido, enviar a senha
aberta para o email. Se o cara sem querer preencheu o email errado... ai complicou! E se a senha
for a mesma de outras que o cara usa??? Pior ainda.


Então não é uma coisa muito legal a se fazer. Vou sugerir essa mudança no código para eles.


[]s e desculpe a desconfiança.