La situación se reduce a esto:
- Cuando entro en hotmail, recupera mis mensajes que se conectan con otros proveedores: solo podrían hacerlo usando mi correo electrónico y contraseña.
- Desde que ingresé hace un par de días, no necesito volver a ingresar mi correo electrónico / contraseña: hotmail no sabe cualquier secreto sobre mí / esta sesión específica .
A partir de estos puntos, solo puedo inferir:
- Almacenan una contraseña maestra derivada de mi contraseña original en mis cookies. Por lo tanto, cuando yo vuelvo, lo usan para descifrar los correos electrónicos.
- Lo tienen almacenado usando una contraseña maestra por sitio.
Sin embargo, ambas soluciones parecen realmente débiles. ¿Alguna idea sobre cómo implementar una conexión segura y persistente de cookies y cifrar contraseñas?
Nota: lea esta pregunta mía sobre por qué digo cifrar y no hash contraseñas.