هل يتم تمرير كلمة مرور النموذج الخاصة بي بنص واضح؟
https://stackoverflow.com/questions/146146
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
هذا ما أرسله متصفحي عند تسجيل الدخول إلى أحد المواقع:
POST http://www.some.site/login.php HTTP/1.0 User-Agent: Opera/8.26 (X2000; Linux i686; Z; en) Host: www.some.site Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Accept-Language: en-US,en;q=0.9 Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1 Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0 Referer: http://www.some.site/ Proxy-Connection: close Content-Length: 123 Content-Type: application/x-www-form-urlencoded lots_of_stuff=here&e2ad811=my_login_name&e327696=my_password&lots_of_stuff=here
هل يمكنني أن أذكر أنه يمكن لأي شخص معرفة اسم تسجيل الدخول وكلمة المرور الخاصة بي لهذا الموقع؟ربما فقط على الشبكة المحلية الخاصة بي؟
إذا كان الأمر كذلك (حتى على الشبكة المحلية فقط) فأنا مصدوم.اعتقدت باستخدام
<input type="password">
فعلت شيئًا أكثر من مجرد جعل جميع الأحرف تبدو مثل ' * '
ملاحظة.إذا كان الأمر مهمًا، فقد لعبت مع netcat (على نظام التشغيل Linux) وقمت بإجراء الاتصال
المتصفح <=> netcat (تم تسجيله هنا) <=> الوكيل <=> Remote_site
المحلول
كل البيانات المرسلة عبر اتصال http يمكن أن يراها شخص ما في طريقك إلى الخادم (رجل في الهجوم الأوسط).
type="password" يخفي فقط الحرف الذي يظهر على الشاشة، وحتى البرامج الأخرى الموجودة على جهاز الكمبيوتر الخاص بك يمكنها قراءة البيانات.
الطريقة الوحيدة لحماية البيانات هي إرسالها عبر SSL (HTTPS بدلاً من HTTP)
نصائح أخرى
type="password" يخفي فقط الحرف الذي يظهر على الشاشة.إذا كنت تريد التوقف عن الاستنشاق، فأنت بحاجة إلى تشفير الاتصال (أي.HTTPS).
يمكنك إما تشفير اتصال HTTP عبر HTTPS، أو أن هناك MD5 وخوارزميات التجزئة الأخرى المطبقة في JavaScript والتي يمكن استخدامها من جانب العميل لتجزئة جانب عميل كلمة المرور قبل إرسالها، وبالتالي منع المتسلل من قراءة كلمة المرور الخاصة بك.
نعم، يتم تمرير بيانات الاعتماد الخاصة بك بنص واضح، ويمكن لأي شخص يمكنه سماع حركة مرور الشبكة الخاصة بك التعرف عليها.
تكون محتويات نص POST مرئية، أي "في مكان واضح" إذا تم نقلها على قناة غير مشفرة.إذا كنت ترغب في حماية نص HTTP من التجسس، فيجب عليك القيام بذلك عبر قناة آمنة، عبر HTTPS.
