В далёком 2000 году ваш покорный слуга сотрудничал с небольшой фирмой «А», которая разрабатывала софт для очень крупной корпорации «Г». Софт состоял из БД, сервера и "толстого" клиента к нему. Заглянув в код и описание для разработчиков, я почувствовал начало фалломорфоза. При старте клиент считывает из центральной БД всю таблицу пользователей, запрашивает логин-пароль, проверяет их по считанной таблице. Если пароль верный, клиент считает авторизацию успешной и далее ходит в БД с админским паролем, который зашит в коде клиента. Был ли зашифрован протокол связи клиент-сервер, уважаемые коллеги пусть догадаются сами.
Когда я мягко попытался обратить внимание проджект-менеджера на недостаток защищённости системы (в ней, кстати сказать, заказчик хранил коммерческую тайну), мне дали понять, что искать недостатки - не моё дело, а заказчика всё устраивает. Ну и ладно.
И вот на днях доходит до меня интересный слух. Корпорация «Г» сменила исполнителя и передала поддержку и развитие данной системы из фирмы «А» в недавно созданную фирму «К», в которой, по слухам, главным инженером работает бывший сотрудник «А». Чтобы отобрать работу у своего конкурента, «К» каким-то образом вышла на высшее руководство «Г» и продемонстрировало ему полную незащищённость информационной системы, которая, как мы помним, долгих восемь лет "всех устраивала". Вид дыры в защите настолько впечатлил топ-менеджера корпорации, что он немедленно сделал ножкой "топ", отказал от дома старому бракоделу и передал подряд новому.
Думаю, не пройдёт и полгода, как "толстый" клиент перестанет ходить в БД с админским паролем.
Наверное, новый подрядчик что-нибудь новенькое придумает.