Mon mot de passe de formulaire est-il transmis en texte clair?
https://stackoverflow.com/questions/146146
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Voici ce que mon navigateur a envoyé lors de la connexion à un site:
POST http://www.some.site/login.php HTTP/1.0 User-Agent: Opera/8.26 (X2000; Linux i686; Z; en) Host: www.some.site Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Accept-Language: en-US,en;q=0.9 Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1 Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0 Referer: http://www.some.site/ Proxy-Connection: close Content-Length: 123 Content-Type: application/x-www-form-urlencoded lots_of_stuff=here&e2ad811=my_login_name&e327696=my_password&lots_of_stuff=here
Puis-je affirmer que n'importe qui peut renifler mon nom d'utilisateur et mon mot de passe pour ce site?
Peut-être juste sur mon réseau local?
Si c'est le cas (même uniquement sur le réseau local), je suis sous le choc. Je pensais en utilisant
<input type="password">
a fait quelque chose de plus que de faire en sorte que tous les caractères ressemblent à '*'
p.s. Si c'est important, j'ai joué avec netcat (sur linux) et établi une connexion
navigateur < = > netcat (connecté ici) < = > proxy < = > site_local
La solution
Toutes les données envoyées via une connexion http peuvent être consultées par une personne se trouvant sur votre route vers le serveur (attaque au milieu).
type = " mot de passe " masque uniquement le caractère à l'écran et même les autres programmes de votre ordinateur peuvent lire les données.
Le seul moyen de protéger les données est de les envoyer via SSL (HTTPS au lieu de HTTP)
Autres conseils
type = " mot de passe " ne cache que le personnage à l'écran. Si vous souhaitez arrêter de renifler, vous devez chiffrer la connexion (c'est-à-dire HTTPS).
Vous pouvez chiffrer la connexion HTTP via HTTPS ou utiliser MD5 et d'autres algorithmes de hachage implémentés en JavaScript qui peuvent être utilisés côté client pour hacher le mot de passe côté client avant de l'envoyer, empêchant ainsi un sniffer de pouvoir lire votre mot de passe. .
Oui, vos informations d'identification sont transmises en texte clair, toute personne pouvant entendre votre trafic réseau peut les renifler.
Le contenu d'un corps POST est visible, c'est-à-dire & "en clair, &"; si transporté sur un canal non crypté. Si vous souhaitez éviter que le corps HTTP ne soit reniflé, vous devez le faire via un canal sécurisé, via HTTPS .
