АТЛ - потенциальные уязвимости

Хотел назвать топик
"АТЛ. Чего логин пасс в GET-e не передаёться? )) или уязвимости народного скрипта"

Как где то высказывался всеми уважаемый Воланд, АТ3 становиться народным скриптом, сам юзаю его. И в процессе юзания заметил очень много недочётов касаемых безопасности. Я так понимаю что разработчики давили на алгоритм трейдинга, но совсем упустили из вида проблемы безопасности и несанкционированного доступа. Итак.
Может я где не прав и может так и нужно тогда объясните. Сразу скажу юзаю Оперу 9

1. Зачем хранить логин пасс в открытом виде в куках? Пасс должен быть в md5 односторонним алгоритмом, так что бы даже при восстановлении генерился новый пароль. Иначе смотрите что происходит, я например нахожусь на отдыхе захожу в атл из интернет кафе, после моих странствий админ этого кофе посмотрит какие сайты какие куки поставили и пароль у злоумышленника. Или же любой троян может вытянуть куки без проблем а там всё как на ладони: домен логин пасс. В куках я считаю должен быть только айдишник сессии.

2. Второй пункт исходит из первого или наоборот )), в файлах конфига в чистом виде чёрным по белому прописан логин и пасс. Этого тоже недолжно быть. Пароль должен быть прописан там в мд5.

3. Пароли всех тредеров можно смотреть когда эдитишь тредера, вот это зачем я тоже не понимаю. Я уверен что эти пароли храняться в открытом тоже виде в конфигах на серваке, лень просто было лазить. Логика человека такова что он может использовать один пароль к нескольким ресурсам. Например я знаю точно что можно узнать какая прода этого тредера у других его тредеров(хоть и толку от этого мало, это как пример), ведь согласитесь мало кто придумывает отдельные пароли для каждого тредера. Если повезёт этот пароль или какая нить его вариация может подойти к админке его скритпов или к спонсорам или к мылу, асе и т.д.
Пароля другого тредера видеть овнеру не обязательно, если это сделанно для того что бы менять пароль тредерам, то лучше написать форму восстановления пароля.

Вот и всё как бы пока что. Давайте здесь обсуждать эти и другие секьюрити баги АТЛ-а, и возможные способы борьбы с ними, на уровне овнеров АТЛ-а и на уровне самозащиты. Кто ближе там к овнерам ATL-a маякните им.

4. Пароль админа, виден в settings в открытом виде, тоже убрать. Все кто юзает спутниковый инет и знает что такое граббинг со спутника (рыбалка) советовал бы вам задуматься. Можно выловить весь хтмл код страницы а там будет чёрным по белому написан ваш пароль и логин )). Кто инет через локалку юзает, тоже самое их должно беспакоить, не все админы одинаково хороши )

вообщем то все эти 4 проблемы решаються простым md5($pass); любых паролей тредеров и админа.

Sveridoff писал:

Хотел назвать топик 2. Второй пункт исходит из первого или наоборот )), в файлах конфига в чистом виде чёрным по белому прописан логин и пасс. Этого тоже недолжно быть. Пароль должен быть прописан там в мд5.

Я даже больше скажу )
По умолчанию на файл с паролями права 777, т.е. предполагается, по всей видимости, работа без suexec'a в апаче.

Или двайте сразу софтину накатаем, которая всё это дело считывает.

Чё говорить, авторов долбить надо, пусть кодируют.

ПС. Посмотрел куки и офигел