Modigar, соответственно сервер тоже должен снять МД5 сумму с пароля, и пароль должен быть при этом в явном виде. В любом случае пароль есть в явном виде или у сервера. или у пользователя, или передается по другому CRAM-MD5 не реализовать.
Jora, согласен, в куках хранится хэш, подставив который серверу вы автоматом авторизуетесь
Сам Яндекс вот что сообщает:
Цитата:
|
По нашему мнению, опубликованный список паролей является результатом длительной работы: частично он наполнен данными, которые явно были получены в момент их ввода пользователем — либо с помощью клавиатурного шпиона, либо за счет фишинга. Кроме того, не исключена ситуация кросс-чека: если пользователь использует один и тот же пароль на разных ресурсах, взлом на одном из них приводит к компрометации и других учетных записей пользователя.
|
да и большинство людей из списка говорят, что 2-3 года не пользовались почтой