Me harías un gran favor, cabrón por @perobuenoh
Vía: https://twitter.com/PEROBUENOH/status/288773685303709697
En realidad, eso es porque puede que el usuario exista pero la contraseña no sea esa, o que exista esa contraseña pero no con ese usuario.
Como programador PHP te informo que este tipo de mensajes son así por dos motivos:
1 - Por pereza. Pudiendo verificar usuario y contraseña en una sola consulta SQL da pereza verificar usuario y luego contraseña.
2 - Por seguridad. Un hacker podría ponerse a probar usuarios al azar para comprobar si existen, y luego espamear a discreción.
Espero haber resuelto tus dudas.
Con un listado de los usuarios existentes en la aplicación, se puede recurrir a ataques de diccionario o fuerza bruta que puede permitir obtener una cuenta de usuario válida. Esta vulnerabilidad se llama Enumeración de Usuarios (Fingerprinting). :B
:whyu: porque cojones me cambias a mayúsculas!?
No te lo da para que sea difícil robar pero si eres experto, lo harás.
Deja tu comentario
Necesitas tener una cuenta en VistoenlasRedes.com para poder dejar comentarios.¡Registra tu cuenta ahora!
12 ene 2013, 21:36
Eso es imposible, puede que exista ese usuario pero que la contraseña este mal, o puede que la contraseña este bien pero el usuario deba ser otro