现在很多网站都使用AJAX让用户登录。
然而,这种设计存在(我认为)巨大的安全漏洞。
如果登录失败,则在向服务器发出的请求中使用了用户名/密码。
如果由于某种原因用户在此时走AFK,恶意用户可以查看用户发出的请求(firebug / devtools)。
这是对的吗?
我们可以做些什么(不这么认为)?
答案 0 :(得分:5)
Firebug仅在请求期间处于活动状态时记录请求。除此之外,它还记录常规POST和AJAX POST(对于GET来说都是一样的,但是对于登录使用它会被延迟,因为它会导致密码以纯文本形式写入日志文件)。
所以没有区别。另外,如果真实用户愚蠢到不能锁定他的PC,恶意用户可以简单地安装一个键盘记录器......
哦,如果凭证完全无效(不仅仅是打字错误),那根本不重要......
答案 1 :(得分:3)
在同样的说明中,即使没有安装Firebug,也就是说有人没有安装数据包嗅探器或键盘记录器来捕获登录尝试。
我并不是要让你变得偏执,但这些方法比你描述的方法更容易窃取密码,而且没有太多可以做的。
在责任级别,软件不对这些类型的物理安全漏洞负责。本地IT管理员或安全专业人员负责制定防止此类事件发生的策略。
答案 2 :(得分:1)
当然,如果凭据不正确(因为登录失败),是否有其他用户在未关闭firefox等的用户上使用devtools是否重要?
答案 3 :(得分:0)
我想这可能是真的。也许在发送AJAX请求之后,Javascript应该在失败时或者在发送详细信息之后删除详细信息。