Ist mein Formular Passwort im Klartext übergeben werden?

StackOverflow https://stackoverflow.com/questions/146146

  •  02-07-2019
  •  | 
  •  

Frage

Dies ist, was mein Browser gesendet, wenn sie in irgendeiner Website anmelden: 

POST http://www.some.site/login.php HTTP/1.0
User-Agent: Opera/8.26 (X2000; Linux i686; Z; en)
Host: www.some.site
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: en-US,en;q=0.9
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Referer: http://www.some.site/
Proxy-Connection: close
Content-Length: 123
Content-Type: application/x-www-form-urlencoded

lots_of_stuff=here&e2ad811=my_login_name&e327696=my_password&lots_of_stuff=here

Kann ich feststellen, dass jemand meinen Login-Namen und das Passwort für diese Website schnuppert? Vielleicht nur auf meinem LAN?
Wenn ja (auch nur auf LAN) dann schockiert ich bin. Ich dachte mit 

<input type="password">

hat etwas mehr als alle Zeichen wie ‚*‘ aussehen

P. S. Wenn es darauf ankommt spielte ich mit netcat (unter Linux) und machte Verbindung
Browser <=> netcat (loged hier) <=> Proxy <=> remote_site

War es hilfreich?

Lösung

Alle Daten trought eine HTTP-Verbindung gesendet werden, können von jemandem in Ihrer Route an den Server (Mann in der Mitte Angriff) zu sehen.

type = „password“ nur versteckt die Zeichen auf dem Bildschirm, und auch andere Programme auf Ihrem Computer können die Daten gelesen werden.

Der einzige Weg, um die Daten zu schützen, ist es trought SSL zu senden (HTTPS statt HTTP)

Andere Tipps

type = „password“ verbirgt nur das Zeichen auf dem Bildschirm. Wenn Sie stoppen Sniffing wollen, müssen Sie die Verbindung verschlüsseln (das heißt HTTPS).

Sie können entweder die HTTP-Verbindung über HTTPS verschlüsselt werden, oder es sind MD5 und andere Hashing in JavaScript implementiert Algorithmen, die Client-Seite verwendet werden kann, das Passwort Client-Seite vor dem Absenden auf Hash, also einen Sniffer stoppen Sie Ihr Passwort in der Lage zu lesen .

Ja, Ihre Anmeldeinformationen in Klartext übergeben werden, wer den Netzwerkverkehr hören können, können sie schnuppern.

Inhalt eines POST Körper sichtbar ist, das heißt „im Klartext“, wenn sie auf einem nicht-verschlüsselten Kanal transportiert. Wenn Sie von dem HTTP-Körper schützen wollen schnupperte werden, sollten Sie so über einen sicheren Kanal tun, über HTTPS .

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top