Názor ke zprávičce Jabbim.cz byla ukradena uživatelská hesla od Filip Jirsák - Mně ta diskuse v jedné věci otevřela oči....

Mně ta diskuse v jedné věci otevřela oči. Dříve bych tvrdil, že současný systém je navržen tak, že je chybou uživatele, pokud používá stejné heslo pro více služeb. Že ale nelze po uživatelích chtít, aby používali desítky hesel, a že je to tedy chyba systému, chyba odborníků. To oni to mají vyřešit tak, aby se uživatelé mohli bezpečně přihlašovat k webům i když se budou chovat tak, jak se lidé přirozeně chovají. A stavěl bych provozovatele webů na stranu těch odborníků, k těm, kteří mají ten systém změnit.
V téhle diskusi mi došlo, že to tak není, že provozovatelé webů patří na stranu uživatelů. Oni také jen chtějí používat nějaký nástroj (web), a očekávají, že ten nástroj je udělaný tak, aby fungoval bezpečně.
Pro mne to znamená, že nelze čekat tlak od provozovatelů webů ("necpěte nám ty hesla, my je nechceme"). Místo toho je potřeba, aby ti lidé, kteří chápou aspoň základy bezpečnosti a zároveň si uvědomují, jaká je role uživatele nějakého nástroje a jaká je role tvůrce toho nástroje, aby tlačili především na autory webových prohlížečů a hned po té i serverů. A pravděpodobně to znamená nechat v rámci GSoC nebo nějakého CZ.NIC Summer of Code naimplementovat do prohlížečů bezpečnou registraci a zkulturnění HTTP autentizace. Dál už to půjde samo podle současného pravidla "webový standard je to, co implementuje alespoň jeden velký prohlížeč".
S SQL injection to tak snadné nebude, spálit veškeré tutorialy, které učí přístup k databázím na PHP mysqli asi nebude možné. A mnohé NoSQL databáze se od SQL databází nechtějí lišit zas až tak moc, takže pro jistotu mají API navržené API tak, aby pro programátory nebylo příliš obtížné napsat kód s NoSQL injection.