La password del mio modulo viene trasmessa in chiaro?

StackOverflow https://stackoverflow.com/questions/146146

  •  02-07-2019
  •  | 
  •  

Domanda

Questo è ciò che il mio browser ha inviato durante l'accesso a un sito: 

POST http://www.some.site/login.php HTTP/1.0
User-Agent: Opera/8.26 (X2000; Linux i686; Z; en)
Host: www.some.site
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: en-US,en;q=0.9
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Referer: http://www.some.site/
Proxy-Connection: close
Content-Length: 123
Content-Type: application/x-www-form-urlencoded

lots_of_stuff=here&e2ad811=my_login_name&e327696=my_password&lots_of_stuff=here

Posso affermare che chiunque può annusare il mio nome utente e la mia password per quel sito? Forse solo sulla mia LAN?
Se è così (anche solo su LAN), allora sono scioccato. Ho pensato di usare 

<input type="password">

ha fatto qualcosa di più che far sembrare tutti i personaggi come '*'

P.S. Se è importante, ho giocato con netcat (su Linux) e ho effettuato una connessione
browser < = > netcat (registrato qui) < = > proxy < = > remote_site

È stato utile?

Soluzione

Tutti i dati inviati tramite una connessione http possono essere visti da qualcuno nel tuo percorso verso il server (man in the middle attack).

&

type = quot; & Password quot; nasconde solo il personaggio sullo schermo e anche altri programmi sul tuo computer possono leggere i dati.

L'unico modo per proteggere i dati è inviarli tramite SSL (HTTPS anziché HTTP)

Altri suggerimenti

&

type = quot; & Password quot; nasconde solo il personaggio sullo schermo. Se vuoi smettere di annusare, devi crittografare la connessione (ad esempio HTTPS).

Puoi crittografare la connessione HTTP tramite HTTPS, oppure esistono MD5 e altri algoritmi di hashing implementati in JavaScript che possono essere utilizzati lato client per eseguire l'hashing della password lato client prima di inviarlo, quindi fermare uno sniffer in grado di leggere la tua password .

Sì, le tue credenziali vengono trasmesse in chiaro, chiunque può sentire il tuo traffico di rete può annusarle.

I contenuti di un corpo POST sono visibili, cioè " in chiaro, " se trasportato su un canale non crittografato. Se desideri proteggere il corpo HTTP dall'annusamento, dovresti farlo su un canale sicuro, tramite HTTPS .

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top