¿Se pasa mi contraseña de formulario en texto claro?
https://stackoverflow.com/questions/146146
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Esto es lo que envió mi navegador al iniciar sesión en algún sitio:
POST http://www.some.site/login.php HTTP/1.0 User-Agent: Opera/8.26 (X2000; Linux i686; Z; en) Host: www.some.site Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Accept-Language: en-US,en;q=0.9 Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1 Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0 Referer: http://www.some.site/ Proxy-Connection: close Content-Length: 123 Content-Type: application/x-www-form-urlencoded lots_of_stuff=here&e2ad811=my_login_name&e327696=my_password&lots_of_stuff=here
¿Puedo decir que cualquiera puede oler mi nombre de usuario y contraseña para ese sitio?
¿Quizás solo en mi LAN?
Si es así (incluso solo en LAN), estoy sorprendido. Pensé usar
<input type="password">
hizo algo más que hacer que todos los caracteres se vean como '*'
p.s. Si importa, jugué con netcat (en linux) e hice la conexión
navegador < = > netcat (registrado aquí) < = > proxy < = > sitio_remoto
Solución
Todos los datos enviados a través de una conexión http pueden ser vistos por alguien en su ruta al servidor (hombre en medio del ataque).
type = " contraseña " solo oculta el personaje en la pantalla, e incluso otros programas en su computadora pueden leer los datos.
La única forma de proteger los datos es enviarlos a través de SSL (HTTPS en lugar de HTTP)
Otros consejos
type = " contraseña " solo oculta el personaje en pantalla. Si desea dejar de oler, debe cifrar la conexión (es decir, HTTPS).
Puede encriptar la conexión HTTP a través de HTTPS, o hay MD5 y otros algoritmos de hash implementados en JavaScript que se pueden usar del lado del cliente para descifrar el lado del cliente de la contraseña antes de enviarla, por lo tanto, para evitar que un rastreador pueda leer su contraseña .
Sí, sus credenciales se pasan en texto sin formato, cualquiera que pueda escuchar el tráfico de su red puede olerlas.
El contenido de un cuerpo POST es visible, es decir, " en claro, " si se transporta en un canal no encriptado. Si desea proteger el cuerpo HTTP de ser rastreado, debe hacerlo a través de un canal seguro, a través de HTTPS .
