<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 13 April 2014 12:02, Adam D. Ruppe <span dir="ltr"><<a href="mailto:destructionator@gmail.com" target="_blank">destructionator@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On Saturday, 12 April 2014 at 21:18:26 UTC, Nick Sabalausky wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Never storing or transmitting password in plain text is not only basic, obvious and to be expected, but it is THE most basic, obvious and to-be-expected principle that exists in computer security.<br>
</blockquote>
<br></div>
... and it is also the most common way passwords are sent in internet protocols.<br>
<br>
* SMTP and HTTP will base64 encode it with their basic auth but that's it<br>
<br>
* web sites typically transmit it completely open<br>
<br>
<br>
There's SSL now that gets more traction, but if you expect a password NOT to be sent in something trivially converted to plain text, wake up an smell the RFC.<br>
</blockquote></div><br></div><div class="gmail_extra">There's been a migration of responsible services to https, but even without that, I consider that a different level of negligence.</div><div class="gmail_extra">The difference is, someone has to be actively monitoring me to capture my password in flight; if I'm a deliberate target, they'll get me somehow anyway.</div>
<div class="gmail_extra">This is passive, it's _storing_ a large number of users passwords all together in one big plain-text blob. It's basically asking to be collected.</div><div class="gmail_extra">There's no transience, I'm compromised even if I'm not a target, and even if I don't log on. My involvement is not required.</div>
</div>