Vlákno názorů k článku
Dvacet let stará chyba v libcurl umožňuje ukrást přihlašovací údaje od Tomáš Matějíček - Podle zdrojových kódů opravy mi přijde, že je...

Podle zdrojových kódů opravy mi přijde, že je titulek zprávičky trochu bulvární.
Věc se má tak, že CURL přeposílalo hlavičku Auth i na jiný server, pokud na něj původní požadavek přesměrovával.
V podstatě to znamená, že pokud jsem udělal HTTP požadavek na server A s autorizační hlavičkou, a server A aktivně řekl "tvůj požadavek bude vyřízen na serveru B", tak CURL poslalo na server B ty stejné hlavičky včetně Auth.

To ale neznamená že by chyba umožňovala ukrást přihlašovací údaje. Znamená to jen, že chyba umožňovala aby moje CURL tyto přihlašovací údaje "vykecalo" jinému serveru, ale jen takovému, na který přeposlal původní server. Takže mluvit o krádeži se mi jeví přehnané.

Může to být problém. Např. přihlášení spravuje správce serveru, ale redirect provede aplikace (vývojář). Pak už přestává existovat osoba, která by držela nad obory obou osob přehled / dohled a riziko vyhodnocovala. Nebo také může být redirect vyprovokovaný, na úrovni aplikace, nějakými parametry (které může podstrčit útočník). Spektrum chyb existuje, byť se nejedná o chybu, která by hromadně vyžvanila každé heslo, se kterým přijde do styku.