AVideo heeft Video Wachtwoordopslag in platte tekst

### Samenvatting AVideo stelt contenteigenaren in staat om individuele video's met een wachtwoord te beveiligen. Het videowachtwoord wordt in **platte tekst** in de database opgeslagen - er wordt geen hashing, salting of encryptie toegepast. Als een aanvaller leesrechten op de database krijgt (via SQL-injectie (SQL Injection), een databaseback-up of verkeerd geconfigureerde toegangscontroles), verkrijgt hij alle videowachtwoorden in platte tekst. ### Details **Bestand:** `objects/video.php` **Kwetsbare setter:** ```php public function setVideo_password($video_password) { AVideoPlugin::onVideoSetVideo_password($this->id, $this->video_password, $video_password); $this->video_password = trim($video_password); } ``` **Kwetsbare getter:** ```php public function getVideo_password() { if (empty($this->video_password)) { return ''; } return trim($this->video_password); } ``` De waarde die aan `$this->video_password` wordt toegewezen, wordt alleen `trim()`-ed voordat deze wordt opgeslagen in de databasekolom `video_password` in de tabel `videos`. Er is geen aanroep naar een hashfunctie (bijv. `password_hash()`, `sha256` of iets dergelijks). Wanneer een bezoeker een wachtwoord invoert om toegang te krijgen tot een beveiligde video, wordt de vergelijking rechtstreeks met de opgeslagen platte tekst gedaan: ```php // C