إعداد نوع مدخلات "كلمة المرور" ذات القيمة من إرسال سابق بعد فشل التحقق من الصحة

Question

أقوم بإنشاء صفحة حساب Create Create لموقعنا. لقد قمت دائمًا بمسح القيمة الافتراضية = "" للحصول على type = "كلمة المرور" إدخال من جنون العظمة ، بعد أن قدم المستخدم نموذجًا ، حتى لو كانت كلمة المرور متطابقة وهناك صالحة. بدأت أفكر في هذا بعد أن سألني المصمم إذا كان هناك أي نقطة حقيقية للقيام بذلك. يمكنني بالتأكيد صدى كلمات المرور في الحقل "" "بعد الإرسال ، إذا لم يكن فشل التحقق من الصحة ، ولكن هل هناك نقاط ضعف مرتبطة بهذا النهج؟ نحن نتخبط في HTTPS على هذه الصفحة بالذات. أعلم أنه يمكنك القيام بإعادة كتابة HTML لتغيير نوع الإدخال بحيث تكون صدى إلى مدخلات غير مقنعة ، ولكن يبدو أنه يمكن أن يؤثر فقط على المستخدم محليًا.

نموذج مثال:

<input type="text" name="username" value="<?php echo $username; ?>">
<input type="password" name="password1" value="">
<input type="password" name="password2" value="">

عند الإرسال ، تحقق مما إذا كان اسم المستخدم يبدو وكأنه بريد إلكتروني مناسب ، ومطابقة كلمات المرور ، وكلمات المرور تغلب على الحد الأدنى من متطلباتنا. إذا أسيء البريد الإلكتروني ، لكن كلمات المرور لا ، هل يمكنني إضافة ...

<input type="password" name="password1" value="<?php echo $password1; ?>">
<input type="password" name="password2" value="<?php echo $password2; ?>">

... وتنكى القلق خالية؟ ولا ، أنا لا أستخدم السجلات العالمية. أخرجهم من $ _POST يدويًا وأقوم بالتطور أولاً.

جوش

Answer 1

أعتقد أنه يجب عليك ألا تفعل ذلك لأن زميل يمكنه سرقة كلمة المرور الخاصة بك إلى صفحة الملف الشخصي والقيام بمصدر عرض.

ربما لا ينبغي أن تكون قادرًا على تنفيذ هذه الوظيفة إذا كانت كلمات المرور الخاصة بك مختلطة باستخدام أ تجزئة آمنة لأن هذه طريقة واحدة ولا يمكنك استعادة كلمة المرور الأصلية.

Answer 2

أعتقد أنها فكرة سيئة أن تفعل ذلك بهذه الطريقة لأنه قد يتم تخزين مصدر HTML ، حتى عندما تخبره باستخدام رؤوس HTTP أنه لا ينبغي تخزينه مؤقتًا. يعتمد هذا على المتصفحات ، وتقترح Microsoft تضمين علامة رأس إضافية بعد علامة الجسم. لدى Microsoft المزيد من المعلومات على هذه "الميزة" لـ Internet Explorer.