Jogos a kritika, köszönöm, bocsánat. Alapvetően a probléma az, hogy biztonságos programot mély rendszerismeret nélkül nem lehet írni.
Egy memóriában tárolt jelszóval is simán meg lehet szívni, de ezen kívül még van 1000 hasonló probléma.
Nyilván a főnök kiadja a feladatot, hogy SSL, a beosztott utána olvas két cikket és elkészíti a programot. A végeredmény meg cleartext.
Más részlegek kódját is láttam, hasonlóak. Az opensource nagy előnye, hogy látják és balhéznak, ha valami nem stimmel. Amit én látok az hamis biztonsági érzet a vállalaton belül. A legtöbb algoritmus törhető, profi számára semmit sem véd.
Lehet, hogy erre képzett szakembereket kellene megfizetni, mert az emberek 99%-a nem képes biztonságos kódot írni.
Az előző munkahelyemen sem voltak képesek rá. A titkosítási algoritmusoknál a randomot úgy számolták ki, hogy a 128 byte-ba beírták a time() értékét 32-szer. Miután a cég megfizetett egy szakértő gárdát, 1 óra múlva már feltörték a szervert. Megsaccolták, hogy mikor indulhatott...
A security az sajnos ilyen.