Pedido de bolsa:
Chegou o novo ano escolar e com isso milhares de estudantes vão candidatar-se a uma bolsa de estudos. Até ai tudo normal! É aqui que a DGES entra. De um ano para o outro uma pessoa esquece-se da sua password e então clica no link para recuperar a mesma. Foi também isso que fiz e fiquei surpreso com a resposta que me chegou por e-mail:
Dados pessoais foram escondidos.
Ora, quando tive uma cadeira de programação para a internet na faculdade, uma das primeiras coisas que o professor nos ensinou sobre como guardar dados foi que qualquer site que responda a um pedido de reposição de password com a mesma não é seguro. Passo então a explicar:
Uma password, quando é bem guardada, tem que ser quase impossível de desencriptar. Se a DGES envia a password em plaintext é porque a consegue decriptar facilmente. Basta haver uma breach no sistema deles e milhares de utilizadores vão ver as suas passwords expostas.
Como é que um site do governo pode ter falhas de segurança tão graves?
Provavelmente não era mau alguém da DGES ler este guia sobre como guardar passwords.