CHOBOT &
ZVIRATKO: Rekl bych, ze vam oboum uniklo, ze se to heslo na e-mail posle pri registraci a tudiz to vubec nemusi znamenat, ze by se nekde ukladalo v plaintextu, protoze se do e-mailu posle to, co uzivatel vyplnil v registraci. Nemusi to byt to, co je v DB.
Setkal jsem se s timhle uz nekolikrat a pokud je ukladani hesel v hashovane podobe, tak tohle projde i auditem. Je to na podobne urovni, jako ze si nekdo klikne na "zapomnel jsem heslo" a prijde mu na e-mail nove heslo, se kterym se muze prihlasit. Argumentovat pak tim, ze "kdyby se mi nekdo naboural do e-mailu tak se mi tam muze prihlasit" je blbost. Kdyby ti nekdo z kapsy ukradl klice, tak se ti muze dostat domu...
Zaslani hesla na zacatku pri registraci je na stejne urovni, jako link pro potvrzeni, ze vyplneny e-mail je tvuj - pokud tam uzivatel vyplni spatny e-mail a prijde to nekomu jinemu, kdo na to klikne a tim se prihlasi do e-shopu, neni to chyba nikoho jineho, nez uzivatele.
To uz bych za vetsi bezpecnostni hrozbu povazoval to, ze vetsina (velkych) webu ma predzaskrtnute "trvale prihlaseni z tohoto pocitace". Coz mi opravdu pripada jako naprosta debilita, ale kdo chce kam...