На дворе уже 2019, а MinecraftOnly до сих пор отправляет пароли на почту в открытом виде, что может означать только одно - датабаза у MinecraftOnly в plaintext!
И это на самом деле ужасающе.
Допустим, что MinecraftOnly взломали. Взламывают даже крупные корпорации, такие как Yahoo и Adobe: https://en.wikipedia.org/wiki/Yahoo!_data_breaches https://www.theverge.com/2013/11/7/5...surface-online. И если это произошло с ними, то может и случиться с MinecraftOnly.
Злоумышленники получают доступ к огромной базе ников/паролей/адресов почты в открытом виде. И так как большинство людей неосторожны в интернете и используют одну и ту же комбинацию паролей/логинов и один и тот же адрес почты, злоумышленники смогут за счёт базы McOnly взломать и другие аккаунты игроков. Это включает в себя почту, аккаунт в Steam и прочие сервисы. Просто бери и вводи данные, невероятно просто.
Из-за этого, пока проект всё ещё хранит свою датабазу в открытом, незашифрованном виде, безопасность игроков находится под серьёзной угрозой.
Поэтому прошу - займитесь миграцией БД проекта с plaintext на хеширование с солью (просто хеширование недостаточно, см https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BB%D1%8C_(%D0%BA%D1%80%D0%B8%D0%BF %D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%8F).
Конечно, это потребует реструктуризации и займёт время и ресурсы, но этим действительно нужно заняться, и как можно скорее.
А пока я настоятельно советую всем игрокам сменить пароль на MinecraftOnly на какой-нибудь рандомно сгенерированный и сохранить его в сервисе вроде LastPass.
