É minha senha formulário que está sendo transmitido em texto claro?
https://stackoverflow.com/questions/146146
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Este é o meu navegador enviada, quando o log em algum site:
POST http://www.some.site/login.php HTTP/1.0 User-Agent: Opera/8.26 (X2000; Linux i686; Z; en) Host: www.some.site Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Accept-Language: en-US,en;q=0.9 Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1 Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0 Referer: http://www.some.site/ Proxy-Connection: close Content-Length: 123 Content-Type: application/x-www-form-urlencoded lots_of_stuff=here&e2ad811=my_login_name&e327696=my_password&lots_of_stuff=here
Can I estado que qualquer um pode cheirar meu nome de login e senha para esse site?
Talvez só na minha LAN?
Se assim for (mesmo apenas em LAN), então eu estou chocado. Eu pensei que usando
<input type="password">
fez algo mais do que todos os personagens se parecem '*'
P.S. Se é importante eu joguei com netcat (no Linux) e conexão feita
navegador <=> netcat (loged aqui) <=> procuração <=> remote_site
Solução
Todos os dados enviados trought uma http conexão pode ser visto por alguém em sua rota para o servidor (ataque man-in-the-middle).
type = "password" apenas oculta o personagem na tela, e até mesmo outros programas em seu computador possa ler os dados.
A única maneira de proteger os dados é enviá-lo trought SSL (HTTPS em vez de HTTP)
Outras dicas
type = "password" apenas oculta o personagem na tela. Se você quer parar de cheirar, você precisa criptografar a conexão (ou seja HTTPS).
Você pode criptografar a conexão HTTP via HTTPS, ou há MD5 e outros algoritmos de hash implementadas em JavaScript que podem ser do lado do cliente usado para hash de lado do cliente senha antes de enviá-la, portanto, parar um sniffer ser capaz de ler sua senha .
Sim, as suas credenciais são passados ??em texto puro, quem pode ouvir o tráfego de rede pode farejar-los.
Conteúdo de um corpo POST são visíveis, isto é, "às claras", se transportada num canal não encriptado. Se você deseja proteger o corpo HTTP de ser inalado, você deve fazê-lo através de um canal seguro, via HTTPS .
