<div class="gmail_quote">2011/10/11 Josh Juran <span dir="ltr"><<a href="mailto:josh@iswifter.net">josh@iswifter.net</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">On Oct 11, 2011, at 3:37 PM, Conan Kudo ($B%K!<%k!&%4%s%Q(B) wrote:<br>
<br>
> On Tue, Oct 11, 2011 at 3:39 PM, Josh Juran <<a href="mailto:josh@iswifter.net">josh@iswifter.net</a>> wrote:<br>
><br>
</div><div class="im">>> Since bugzilla passwords were sent in cleartext anyway, I sincerely hope none of them were otherwise valuable.  (Remember FireSheep?)<br>
><br>
</div><div class="im">> Wait, what? Bugzilla sends passwords in cleartext? That isn't very smart... Is there no way to replace this with some sort of client based hashing or something?<br>
<br>
</div>To clarify, your browser sends your password to bugzilla in cleartext, since HTTPS isn't an option.<br>
<br>
Firesheep was a lesson that even once passwords are secure, session credentials are still vulnerable to sniffing. Some sites went to HTTPS-only sessions after that.<br>
<font color="#888888"><br>
Josh<br>
<br>
<br>
</font></blockquote></div><br><div>Shouldn't it be possible to modify the login environment so that a salted hash of the password is produced before sending it to the server, to strengthen the security a little bit?</div>