现在许多网站使用AJAX让用户登录。
然而,这种设计存在一个(我认为)巨大的安全漏洞。
如果登录失败,说明用户名/密码在向服务器发出的请求中已被使用。
如果由于某种原因用户走AFK,此时恶意用户可以查看用户(firebug/devtools)发出的请求。
正确吗?
有什么我们可以做的吗?(我认为没有)?Firebug只记录在请求期间处于活动状态的请求。除此之外,它还记录常规post和AJAX post(对于GET来说也是一样,但是将其用于登录是延迟的,因为它将导致密码以纯文本形式写入日志文件)。
所以没有区别。此外,如果真正的用户愚蠢到不锁定他的电脑,恶意用户可以简单地安装键盘记录器…
哦,如果凭据是完全无效的(不仅仅是拼写错误),那就没关系了…
同样的,即使没有安装Firebug,谁说有人没有安装数据包嗅探器或键盘记录器来捕获登录尝试。
我不是想让你变得偏执,但是这些方法比你描述的方法更容易窃取密码,而且没有太多可以做的。
在责任层面,软件不能对这些物理安全漏洞负责。本地IT管理员或安全专业人员负责制定防止此类事件发生的策略。
如果凭据不正确(如登录失败),如果其他用户在未关闭firefox等的用户上使用devtools是否重要?
我想这可能是真的。也许在发送AJAX请求之后,Javascript应该删除失败的详细信息,或者只是在发送详细信息之后。