Ist mein Formular Passwort im Klartext übergeben werden?
Frage
Dies ist, was mein Browser gesendet, wenn sie in irgendeiner Website anmelden:
POST http://www.some.site/login.php HTTP/1.0 User-Agent: Opera/8.26 (X2000; Linux i686; Z; en) Host: www.some.site Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Accept-Language: en-US,en;q=0.9 Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1 Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0 Referer: http://www.some.site/ Proxy-Connection: close Content-Length: 123 Content-Type: application/x-www-form-urlencoded lots_of_stuff=here&e2ad811=my_login_name&e327696=my_password&lots_of_stuff=here
Kann ich feststellen, dass jemand meinen Login-Namen und das Passwort für diese Website schnuppert?
Vielleicht nur auf meinem LAN?
Wenn ja (auch nur auf LAN) dann schockiert ich bin. Ich dachte mit
<input type="password">
hat etwas mehr als alle Zeichen wie ‚*‘ aussehen
P. S. Wenn es darauf ankommt spielte ich mit netcat (unter Linux) und machte Verbindung
Browser <=> netcat (loged hier) <=> Proxy <=> remote_site
Lösung
Alle Daten trought eine HTTP-Verbindung gesendet werden, können von jemandem in Ihrer Route an den Server (Mann in der Mitte Angriff) zu sehen.
type = „password“ nur versteckt die Zeichen auf dem Bildschirm, und auch andere Programme auf Ihrem Computer können die Daten gelesen werden.
Der einzige Weg, um die Daten zu schützen, ist es trought SSL zu senden (HTTPS statt HTTP)
Andere Tipps
type = „password“ verbirgt nur das Zeichen auf dem Bildschirm. Wenn Sie stoppen Sniffing wollen, müssen Sie die Verbindung verschlüsseln (das heißt HTTPS).
Sie können entweder die HTTP-Verbindung über HTTPS verschlüsselt werden, oder es sind MD5 und andere Hashing in JavaScript implementiert Algorithmen, die Client-Seite verwendet werden kann, das Passwort Client-Seite vor dem Absenden auf Hash, also einen Sniffer stoppen Sie Ihr Passwort in der Lage zu lesen .
Ja, Ihre Anmeldeinformationen in Klartext übergeben werden, wer den Netzwerkverkehr hören können, können sie schnuppern.
Inhalt eines POST Körper sichtbar ist, das heißt „im Klartext“, wenn sie auf einem nicht-verschlüsselten Kanal transportiert. Wenn Sie von dem HTTP-Körper schützen wollen schnupperte werden, sollten Sie so über einen sicheren Kanal tun, über HTTPS .